Mastodon, популярна децентрализирана социална мрежа, пусна актуализация на сигурността, за да отстрани критични уязвимости, които могат да изложат милиони потребители на потенциални атаки.

Mastodon е известна със своя федеративен модел, състоящ се от хиляди отделни сървъри, наречени „инстанции“, и има над 14 милиона потребители в повече от 20 000 инстанции.

Най-критичната уязвимост, CVE-2023-36460, позволява на хакерите да се възползват от недостатък във функцията за прикачване на мултимедийни файлове, като създават и презаписват файлове на всяко място, до което софтуерът има достъп в дадена инстанция.

Тази уязвимост на софтуера може да бъде използвана за DoS и произволни атаки с отдалечено изпълнение на код, което представлява значителна заплаха за потребителите и за по-широката интернет екосистема.

Ако атакуващият получи контрол над множество инстанции, той може да причини вреда, като инструктира потребителите да изтеглят злонамерени приложения или дори да срине цялата инфраструктура на Mastodon. За щастие, досега няма данни тази уязвимост да е била използвана.

Критичният недостатък е открит в рамките на цялостна инициатива за тестване за проникване, финансирана от фондация Mozilla и проведена от Cure53.

В неотдавнашното издание на кръпката са отстранени пет уязвимости, включително друг критичен проблем, проследен като CVE-2023-36459. Тази уязвимост би могла да позволи на нападателите да инжектират произволен HTML в картите за преглед на oEmbed, заобикаляйки процеса за обработка на HTML на Mastodon.

Вследствие на това се появява вектор за полезни товари от типа XSS (Cross-Site Scripting), които могат да изпълнят зловреден код, когато потребителите щракнат върху карти за предварителен преглед, свързани със злонамерени връзки.

Останалите три уязвимости бяха класифицирани като такива с висока и средна степен на опасност. Те включваха „Blind LDAP injection in login“ (Сляпо инжектиране на LDAP при влизане), което позволяваше на нападателите да извличат произволни атрибути от базата данни LDAP, „Denial of Service (Отказ от обслужване) чрез бавни HTTP отговори“ и проблем с форматирането на „Verified profile links“ (Проверени връзки към профила). Всеки от тези недостатъци представляваше различно ниво на риск за потребителите на Mastodon.

За да се защитят, потребителите на Mastodon трябва само да се уверят, че абонираната им инстанция е инсталирала своевременно необходимите актуализации.

Източник: The Hacker News

Подобни публикации

23 април 2025

Азиатски престъпни мрежи разширяват дейността с...

Престъпни синдикати от Източна и Югоизточна Азия пренасят доходонос...
22 април 2025

3дравни организации станаха жертва на мащабни п...

Две здравни организации в САЩ потвърдиха, че са станали обект на се...
22 април 2025

Културата – почвата на киберсигурността, а не о...

Когато става въпрос за киберсигурност, хората често си представят с...
22 април 2025

Microsoft извършва най-мащабната реформа в кибе...

Microsoft обяви, че е завършила „най-големия проект за инжене...
22 април 2025

Севернокорейски хакери използват Zoom за кражба...

Севернокорейски киберпрестъпници са усъвършенствали тактиките си за...
22 април 2025

Exaforce с амбиция да преосмисли SOC: 75 милион...

Сан Франсиско се превръща във все по-важен хъб за иновации в киберс...
21 април 2025

Kenzo Security: Иновативна платформа за киберси...

Стартъпът Kenzo Security обяви излизането си от скрит режим, съобща...
Бъдете социални
Още по темата
03/04/2025

Ново проучване класира плат...

Платформата, в която хората най-често забравят...
04/03/2025

Използването на данни на ти...

Службата на комисаря по информацията (ICO)...
20/02/2025

Децата под 13 години масово...

Ново проучване на австралийската Комисия за...
Последно добавени
23/04/2025

Азиатски престъпни мрежи ра...

Престъпни синдикати от Източна и Югоизточна...
22/04/2025

3дравни организации станаха...

Две здравни организации в САЩ потвърдиха,...
22/04/2025

Културата – почвата на кибе...

Когато става въпрос за киберсигурност, хората...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!