Der föderierte Kurznachrichtendienst Mastodon hat offenbar ein massives Problem, das Identitätsklau sehr einfach macht. Wie die Entwickler in einem Sicherheitshinweis melden, können Angreifer beliebige Konten übernehmen und deren Identität stehlen.

Die Sicherheitslücke hat die CVE-ID CVE-2024-23832 erhalten und hat immerhin 9,4 von 10 CVSS-Punkten. Es handelt sich nach Einschätzung des Mastodon-Teams um eine leicht aus der Ferne ausnutzbare Lücke, die keinerlei Vorbedingungen mitbringt.

Nur wenige Minuten nach Veröffentlichung des Sicherheitshinweises begannen Administratoren großer Mastodon-Instanzen mit den notwendigen Updates. Das bestätigte etwa Jerry Bell, der Verwalter der Instanz infosec.exchange, gegenüber heise security.

Wer selber eine Mastodon-Instanz betreibt, sollte sich zügig ans Update machen. Vom Fehler betroffen sind die Mastodon-Versionen

  • 3.5.16 und älter,
  • 4.0.12 und älter,
  • 4.1.12 und älter sowie
  • 4.2.4 und älter.

Die Versionen 3.5.17, 4.0.13, 4.1.13 und 4.2.5 beheben die Sicherheitslücke.