Pixelfed leaks private posts from other Fediverse instances
a year ago
- #privacy
- #fediverse
- #security
- Pixelfed曾存在一个漏洞,允许未经授权访问来自其他Fediverse实例的私有帖子。
- 该问题源于Pixelfed忽略了'manuallyApprovesFollowers'属性,将所有账户视为未锁定状态。
- 来自Pixelfed实例的合法关注者可能向该实例上的任何用户暴露私有内容。
- 漏洞虽被负责任地报告,但维护者响应迟缓且沟通欠佳。
- Pixelfed的修复被捆绑在重大更新(v1.12.5)中,增加了管理员快速应用的难度。
- 该事件暴露出对Pixelfed安全实践和维护者行为的广泛担忧。
- Fediverse生态依赖信任,此次事件凸显了提升安全性与透明度的必要性。