Децентрализованная социальная сеть Mastodon раскрыла критическую брешь в системе безопасности, которая позволяет злоумышленникам выдавать себя за любую учетную запись и захватывать ее.
"Из-за недостаточной проверки происхождения во всех Mastodon злоумышленники могут выдать себя за любую удаленную учетную запись и завладеть ею", - говорится в кратком сообщении сопровождающих.
Уязвимость, отслеживаемая как CVE-2024-23832, имеет рейтинг серьезности 9,4 из максимально возможных 10. Исследователю безопасности arcanicanis приписывают обнаружение и сообщение о ней.
Она была описана как "ошибка проверки источника" (CWE-346), которая обычно позволяет злоумышленнику "получить доступ к любой функциональности, которая непреднамеренно доступна источнику".
Уязвимы все версии Mastodon до версии 3.5.17, а также версии 4.0.x до версии 4.0.13, версии 4.1.x до версии 4.1.13 и версии 4.2.x до версии 4.2.5.
Mastodon заявила, что скрывает дополнительные технические подробности об уязвимости до 15 февраля 2024 года, чтобы дать администраторам достаточно времени для обновления экземпляров сервера и предотвращения вероятности использования.
"Любое количество деталей очень упростило бы создание эксплойта", - говорилось в нем.
Федеративный характер платформы означает, что она работает на отдельных серверах (иначе называемых инстансами), независимо размещенных и управляемых соответствующими администраторами, которые создают свои собственные правила, которые применяются локально.
Это также означает, что не только у каждого экземпляра есть уникальный кодекс поведения, условия предоставления услуг, политика конфиденциальности и рекомендации по модерации контента, но и требует от каждого администратора своевременного применения обновлений безопасности для защиты экземпляров от потенциальных рисков.
Раскрытие поступило почти через семь месяцев после того, как Mastodon устранил две другие критические ошибки (CVE-2023-36460 и 2023-36459), которые могли быть использованы злоумышленниками для вызова отказа в обслуживании (DoS) или обеспечения удаленного выполнения кода.
"Из-за недостаточной проверки происхождения во всех Mastodon злоумышленники могут выдать себя за любую удаленную учетную запись и завладеть ею", - говорится в кратком сообщении сопровождающих.
Уязвимость, отслеживаемая как CVE-2024-23832, имеет рейтинг серьезности 9,4 из максимально возможных 10. Исследователю безопасности arcanicanis приписывают обнаружение и сообщение о ней.
Она была описана как "ошибка проверки источника" (CWE-346), которая обычно позволяет злоумышленнику "получить доступ к любой функциональности, которая непреднамеренно доступна источнику".
Уязвимы все версии Mastodon до версии 3.5.17, а также версии 4.0.x до версии 4.0.13, версии 4.1.x до версии 4.1.13 и версии 4.2.x до версии 4.2.5.
Mastodon заявила, что скрывает дополнительные технические подробности об уязвимости до 15 февраля 2024 года, чтобы дать администраторам достаточно времени для обновления экземпляров сервера и предотвращения вероятности использования.
"Любое количество деталей очень упростило бы создание эксплойта", - говорилось в нем.
Федеративный характер платформы означает, что она работает на отдельных серверах (иначе называемых инстансами), независимо размещенных и управляемых соответствующими администраторами, которые создают свои собственные правила, которые применяются локально.
Это также означает, что не только у каждого экземпляра есть уникальный кодекс поведения, условия предоставления услуг, политика конфиденциальности и рекомендации по модерации контента, но и требует от каждого администратора своевременного применения обновлений безопасности для защиты экземпляров от потенциальных рисков.
Раскрытие поступило почти через семь месяцев после того, как Mastodon устранил две другие критические ошибки (CVE-2023-36460 и 2023-36459), которые могли быть использованы злоумышленниками для вызова отказа в обслуживании (DoS) или обеспечения удаленного выполнения кода.
