一、 漏洞 CVE-2025-62605 基础信息
漏洞信息
                                        # Mastodon 引用控制绕过漏洞

## 概述

Mastodon 是一个基于 ActivityPub 协议的开源社交网络服务端。在版本 4.4 中引入了可验证的引用帖子功能,并通过引用控制限制某些行为。但在 4.4.8 和 4.5.0-beta.2 之前的版本中,存在一个漏洞,允许攻击者绕过该引用控制机制。

## 影响版本

- 所有 Mastodon 版本在 4.4.8 之前
- 所有 Mastodon 4.5.0 开发版本,包括 beta.1,但不包括 beta.2

## 细节

Mastodon 将“Reblog”(转发)视为一种普通状态(status)。在该漏洞相关版本中,Reblog 的状态没有被特别处理。攻击者可以利用这一点,先转发(reblog)一个原始帖子,再对其自己的 reblog 进行引用。从技术上讲,该行为表现为“引用自己”,但实际上会展示目标帖子的内容预览。由于引用控制未对 reblog 进行额外校验,攻击者得以绕过原本应被限制的功能。

## 影响

攻击者可以通过该漏洞间接引用未经授权的内容,并获得该内容的预览和部分原本受限的交互功能。这削弱了引用控制的安全性。该问题已在 4.4.8 和 4.5.0-beta.2 中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Mastodon quotes control can be bypassed
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Mastodon is a free, open-source social network server based on ActivityPub. In Mastodon version 4.4, support for verifiable quote posts with quote controls was added, but it is possible for an attacker to bypass these controls in Mastodon versions prior to 4.4.8 and 4.5.0-beta.2. Mastodon internally treats reblogs as statuses. Since they were not special-treated, an attacker could reblog any post, then quote their reblog, technically quoting themselves, but having the quote feature a preview of the post they did not get authorization for with all of the affordances that would be otherwise denied by the quote controls. This issue has been patched in versions 4.4.8 and 4.5.0-beta.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
对因果或异常条件的不恰当检查
来源:美国国家漏洞数据库 NVD
漏洞标题
Mastodon 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mastodon是Mastodon开源的一款基于ActivityPub的开源社交网络服务器。 Mastodon 4.4.8之前版本和4.5.0-beta.2之前版本存在代码问题漏洞,该漏洞源于未正确处理转帖状态,可能导致绕过引用控制功能。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62605 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62605 的情报信息

  • 标题: Release v4.4.8 · mastodon/mastodon · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Release v4.4.8 · mastodon/mastodon · GitHub

  • 标题: Release v4.5.0-beta.2 · mastodon/mastodon · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Release v4.5.0-beta.2 · mastodon/mastodon · GitHub

  • 标题: Quotes control bypass · Advisory · mastodon/mastodon · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Quotes control bypass · Advisory · mastodon/mastodon · GitHub

  • 标题: Merge commit from fork · mastodon/mastodon@2dc4552 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Merge commit from fork · mastodon/mastodon@2dc4552 · GitHub

  • 标题: Merge commit from fork · mastodon/mastodon@405a49d · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Merge commit from fork · mastodon/mastodon@405a49d · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-62605
四、漏洞 CVE-2025-62605 的评论

暂无评论

发表评论