Een kritieke kwetsbaarheid met de naam "TootRoot" maakt het mogelijk voor aanvallers om Mastodon-servers over te nemen en vervolgens aanvallen tegen gebruikers van het platform uit te voeren. De impact van het beveiligingslek, aangeduid als CVE-2023-36460, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Mastodon heeft een update uitgebracht om het probleem te verhelpen.

"Door middel van speciaal geprepareerde mediabestanden kan een aanvaller de code waarmee Mastodon media verwerkt willekeurige bestanden op elke locatie laten aanmaken. Hierdoor kunnen aanvallers elk bestand waar Mastodon toegang toe heeft overschrijven of creëren, wat kan leiden tot denial of service en het remote uitvoeren van willekeurige code", aldus de beschrijving van het probleem. Mastodon heeft vooralsnog geen verdere details gegeven.

Beveiligingsonderzoeker Kevin Beaumont stelt op Mastodon dat een aanvaller via het lek een statusbericht kan versturen waardoor het mogelijk is voor een aanvaller om een webshell op de Mastodon-server te installeren. Daarmee is het mogelijk om toegang tot de server te behouden en verdere aanvallen uit te voeren. Zo zou het mogelijk zijn om malafide berichten naar gebruikers te sturen dat ze bijvoorbeeld een "update" zouden moeten installeren. Er zouden volgens The Federation meer dan 24.000 Mastodon-servers op internet zijn.