Mastodon закърпва критични недостатъци

Mastodon, популярна децентрализирана социална мрежа, пусна актуализация на сигурността, за да отстрани критични уязвимости, които могат да изложат милиони потребители на потенциални атаки.

Mastodon е известна със своя федеративен модел, състоящ се от хиляди отделни сървъри, наречени „инстанции“, и има над 14 милиона потребители в повече от 20 000 инстанции.

Най-критичната уязвимост, CVE-2023-36460, позволява на хакерите да се възползват от недостатък във функцията за прикачване на мултимедийни файлове, като създават и презаписват файлове на всяко място, до което софтуерът има достъп в дадена инстанция.

Тази уязвимост на софтуера може да бъде използвана за DoS и произволни атаки с отдалечено изпълнение на код, което представлява значителна заплаха за потребителите и за по-широката интернет екосистема.

Ако атакуващият получи контрол над множество инстанции, той може да причини вреда, като инструктира потребителите да изтеглят злонамерени приложения или дори да срине цялата инфраструктура на Mastodon. За щастие, досега няма данни тази уязвимост да е била използвана.

Критичният недостатък е открит в рамките на цялостна инициатива за тестване за проникване, финансирана от фондация Mozilla и проведена от Cure53.

В неотдавнашното издание на кръпката са отстранени пет уязвимости, включително друг критичен проблем, проследен като CVE-2023-36459. Тази уязвимост би могла да позволи на нападателите да инжектират произволен HTML в картите за преглед на oEmbed, заобикаляйки процеса за обработка на HTML на Mastodon.

Вследствие на това се появява вектор за полезни товари от типа XSS (Cross-Site Scripting), които могат да изпълнят зловреден код, когато потребителите щракнат върху карти за предварителен преглед, свързани със злонамерени връзки.

Останалите три уязвимости бяха класифицирани като такива с висока и средна степен на опасност. Те включваха „Blind LDAP injection in login“ (Сляпо инжектиране на LDAP при влизане), което позволяваше на нападателите да извличат произволни атрибути от базата данни LDAP, „Denial of Service (Отказ от обслужване) чрез бавни HTTP отговори“ и проблем с форматирането на „Verified profile links“ (Проверени връзки към профила). Всеки от тези недостатъци представляваше различно ниво на риск за потребителите на Mastodon.

За да се защитят, потребителите на Mastodon трябва само да се уверят, че абонираната им инстанция е инсталирала своевременно необходимите актуализации.

Източник: The Hacker News

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
Бъдете социални
Още по темата
No data was found
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!