“去中心化版 Twitter”Mastodon 曝出严重漏洞

据外媒报道，23日安全研究员Lenin Alevski警告说社交媒体平台Mastodon的多个账号容易受到系统配置问题的影响，并在一篇技术博客中透露该漏洞使攻击者有可能访问用户的个人资料图片或任何其他上传的数据，并将其替换为任意内容。该漏洞还意味着攻击者可以从服务器下载文件——包括通过直接消息（DM）共享的文件（Mastodon上的DM与Twitter不同，省略了加密），还有可能实施包括删除服务器文件的破坏性攻击。目前，Alevski已向管理Mastodon的infosec.exchange实例的系统管理员Jerry Bell报告了该漏洞