diff --git a/src/socket.io/user.js b/src/socket.io/user.js
index 88273f8709..0b34551d08 100644
--- a/src/socket.io/user.js
+++ b/src/socket.io/user.js
@@ -350,6 +350,11 @@ SocketUser.setStatus = function(socket, status, callback) {
 	if (!socket.uid) {
 		return callback(new Error('[[invalid-uid]]'));
 	}
+
+	var allowedStatus = ['online', 'offline', 'dnd', 'away'];
+	if (allowedStatus.indexOf(status) === -1) {
+		return callback(new Error('[[invalid-user-status]]'));
+	}
 	user.setUserField(socket.uid, 'status', status, function(err) {
 		if (err) {
 			return callback(err);