CVE-2026-33868Mastodon是基于ActivityPub的开源社交网络服务器。在4.5.8、4.4.15和4.3.21之前的版本中,由于`/web/*`路由对URL编码路径段处理不当,存在一个未认证的开放重定向漏洞(CWE-601)。攻击者可利用URL编码的斜杠(%2F)绕过Rails路径规范化,诱导用户重定向至恶意外部域名,从而实施网络钓鱼或窃取OAuth凭据。
该漏洞核心在于Mastodon后端对`/web/*`路径的处理逻辑存在缺陷。在Rails框架中,URL路径通常会经过规范化处理,以防止目录遍历或路径混淆。然而,Mastodon在特定版本中未能正确处理经过URL编码的斜杠字符(%2F)。当攻击者构造类似`/web/https:%2F%2Fevil.com`的请求时,服务器端的路径解析器未能将`%2F`视为单纯的路径字符,而是将其解码为实际的路径分隔符。这种行为绕过了Rails标准的安全检查机制,导致应用程序将后续部分解析为外部域名。由于该漏洞无需身份认证即可触发(CVSS向量PR:N),且属于开放重定向(CWE-601),攻击者可轻易利用这一点构建钓鱼链接。当受害者点击链接时,浏览器地址栏可能短暂显示受信任的Mastodon域名,随后被重定向至恶意站点,从而窃取用户的登录凭证或OAuth授权令牌。