L’Agenzia per la Cybersicurezza Nazionale ha pubblicato il 24 aprile un alert del CSIRT Italia su una vulnerabilità in Mastodon classificata ad alta gravità, tracciata come CVE-2026-41259 e valutata con punteggio CVSS 8.2. Il problema consente di aggirare le restrizioni sui domini email applicate alle nuove registrazioni. Le correzioni sono disponibili nelle versioni 4.3.22, 4.4.16 e 4.5.9, rilasciate il 15 aprile.

Il problema, tracciato come CVE-2026-41259, riguarda la validazione degli indirizzi email in fase di registrazione. Mastodon permette agli amministratori di configurare liste nere o bianche di domini: chi usa un indirizzo di un dominio bloccato non dovrebbe riuscire a iscriversi, mentre sulle istanze ad accesso ristretto possono registrarsi solo indirizzi di domini autorizzati. La validazione di base funziona, ma non teneva conto di certi caratteri speciali che alcuni server di posta interpretano in modo diverso. Un attaccante poteva sfruttare questa discrepanza per presentare un indirizzo che superava i controlli, aggirando sia le liste nere che quelle bianche.

// affiliato ▸ NextDNS · Blocca tracker e minacce prima che arrivino · Provalo gratis →

Cosa può succedere

Dalle informazioni pubbliche disponibili non emergono impatti diretti sulla riservatezza dei dati o sulla disponibilità del servizio; l’impatto riguarda soprattutto l’integrità dei controlli di accesso in fase di registrazione. L’impatto riguarda il controllo degli accessi: chi gestisce comunità chiuse, server aziendali o istanze con criteri di ammissione precisi poteva trovarsi con iscrizioni che avrebbe dovuto bloccare. Un dominio inserito in lista nera per ragioni di moderazione restava aggirabile finché non si installava l’aggiornamento.

Versioni corrette

Le versioni che includono la patch sono la 4.3.22, la 4.4.16 e la 4.5.9, rilasciate il 15 aprile. Da notare che il ramo 4.3.x va fuori supporto il 6 maggio: chi è ancora su quella versione ha un motivo in più per aggiornare, o per valutare la migrazione a un ramo più recente.