主要观点：2025 年 3 月 25 日，在 Fediverse 不同服务器上关注他人时，远程服务器决定是否允许，Pixelfed 因实现错误允许任何人关注其他服务器上的私人账户，导致合法用户能看到他人私人帖子，Pixelfed 管理员应尽快更新到 v1.12.5 但升级有困难。

关键信息：

• 多数 ActivityPub 实现中用户可决定是否手动审核新关注者，Mastodon 可通过“Automatically accept new followers”设置锁定账户并显示锁符号。
• Pixelfed 的 ActivityPub 实现不完整，未导入远程账户的“as:manuallyApprovesFollowers”属性，导致远程账户显示为未锁定，且在假设账户未锁定时立即处理关注尝试，存在安全漏洞。
• 攻击者可在 Pixelfed 实例上创建账号关注他人并查看私人帖子，且 Pixelfed 用户集中在少数大实例，问题较严重。
• 报告给 Pixelfed 维护者后，约 30 小时得到回复，两天后推送修复，几天后发布包含大量更改的 v1.12.5 版本，未按理想流程处理安全问题，维护者有不良行为记录。

重要细节：

• 展示了 Pixelfed 相关代码片段说明问题所在。
• 提及理想的开源软件安全问题处理流程及其他项目的做法。
• 给出发现和分析漏洞、报告、与维护者沟通及各事件时间节点等详细信息。
• 包含多个相关链接及脚注说明来源和背景。