Mastodon закърпва критични недостатъци

Mastodon, популярна децентрализирана социална мрежа, пусна актуализация на сигурността, за да отстрани критични уязвимости, които могат да изложат милиони потребители на потенциални атаки.

Mastodon е известна със своя федеративен модел, състоящ се от хиляди отделни сървъри, наречени „инстанции“, и има над 14 милиона потребители в повече от 20 000 инстанции.

Най-критичната уязвимост, CVE-2023-36460, позволява на хакерите да се възползват от недостатък във функцията за прикачване на мултимедийни файлове, като създават и презаписват файлове на всяко място, до което софтуерът има достъп в дадена инстанция.

Тази уязвимост на софтуера може да бъде използвана за DoS и произволни атаки с отдалечено изпълнение на код, което представлява значителна заплаха за потребителите и за по-широката интернет екосистема.

Ако атакуващият получи контрол над множество инстанции, той може да причини вреда, като инструктира потребителите да изтеглят злонамерени приложения или дори да срине цялата инфраструктура на Mastodon. За щастие, досега няма данни тази уязвимост да е била използвана.

Критичният недостатък е открит в рамките на цялостна инициатива за тестване за проникване, финансирана от фондация Mozilla и проведена от Cure53.

В неотдавнашното издание на кръпката са отстранени пет уязвимости, включително друг критичен проблем, проследен като CVE-2023-36459. Тази уязвимост би могла да позволи на нападателите да инжектират произволен HTML в картите за преглед на oEmbed, заобикаляйки процеса за обработка на HTML на Mastodon.

Вследствие на това се появява вектор за полезни товари от типа XSS (Cross-Site Scripting), които могат да изпълнят зловреден код, когато потребителите щракнат върху карти за предварителен преглед, свързани със злонамерени връзки.

Останалите три уязвимости бяха класифицирани като такива с висока и средна степен на опасност. Те включваха „Blind LDAP injection in login“ (Сляпо инжектиране на LDAP при влизане), което позволяваше на нападателите да извличат произволни атрибути от базата данни LDAP, „Denial of Service (Отказ от обслужване) чрез бавни HTTP отговори“ и проблем с форматирането на „Verified profile links“ (Проверени връзки към профила). Всеки от тези недостатъци представляваше различно ниво на риск за потребителите на Mastodon.

За да се защитят, потребителите на Mastodon трябва само да се уверят, че абонираната им инстанция е инсталирала своевременно необходимите актуализации.

#социални мрежи

The Hacker News

Подобни

ИИ агент започна самостоятелно криптомайнинг по време на обучение

10.03.2026

Критична уязвимост в NGINX UI позволява пълен достъп до сървъри

10.03.2026

online-security-protection-dark-background-3d-illustration (1)

Масови течове на частни ключове за TLS застрашават големи компании и правителства

9.03.2026

Критична уязвимост в WordPress плъгина User Registration & Membership

6.03.2026

Google: 90 Zero-Day уязвимости експлоатирани активно през 2025 г.

6.03.2026

Активни атаки срещу Cisco Catalyst SD-WAN

6.03.2026

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"