Mastodon, popularna decentralizovana društvena mreža, objavila je sigurnosno ažuriranje kako bi popravila kritične ranjivosti koje bi mogle izložiti milione korisnika potencijalnim napadima.
Mastodon je poznat po svom federalnom modelu koji se sastoji od hiljada odvojenih servera zvanih “instance” i ima preko 14 miliona korisnika na više od 20.000 instanci.
Najkritičnija ranjivost, CVE-2023-36460, omogućava hakerima da iskoriste nedostatak u funkciji medijskih priloga, kreirajući i prepisujući datoteke na bilo kojoj lokaciji kojoj softver može pristupiti na instanci.
Ova ranjivost softvera bi se mogla koristiti za DoS napade i proizvoljnog udaljenog izvršavanja koda, što predstavlja značajnu pretnju korisnicima i širem internet ekosistemu.
Ako napadač dobije kontrolu nad višestrukim instancama, mogao bi uzrokovati štetu upućivanjem korisnika da preuzmu maliciozne aplikacije ili čak srušiti cijelu Mastodon infrastrukturu. Srećom, za sada nema dokaza da je ova ranjivost iskorištena.
Kritična greška otkrivena je kao dio sveobuhvatne inicijative za pentestiranje koju je finansirala Mozilla fondacija i koju je proveo Cure53.
Nedavno izdanje zakrpe adresiralo je pet ranjivosti, uključujući još jedan kritičan problem praćen kao CVE-2023-36459. Ova ranjivost bi mogla omogućiti napadačima da ubace proizvoljan HTML u oEmbed kartice za pregled, zaobilazeći Mastodon-ov HTML proces sanitizacije.
Shodno tome, ovo je uvelo vektor za payload Cross-Site Scripting (XSS) koja bi mogla izvršiti maliciozni kod kada korisnici kliknu na kartice za pregled povezane sa malicioznim vezama.
Preostale tri ranjivosti su klasifikovane kao visoke i srednje ozbiljnosti. Oni su uključivali “Slijepo ubacivanje LDAP-a u prijavu”, što je omogućilo napadačima da izvuku proizvoljne atribute iz LDAP baze podataka, “Odbijanje usluge kroz spore HTTP odgovore” i problem formatiranja sa “Provjerenim vezama profila”. Svaki od ovih nedostataka predstavljao je različite nivoe rizika za korisnike mastodonta.
Da bi se zaštitili, korisnici Mastodon-a samo trebaju osigurati da je njihova pretplaćena instanca odmah instalirala potrebna ažuriranja.
Izvor: The Hacker News