Новости 9.4 из 10: Mastodon сообщает о критической уязвимости с захватом аккаунтов

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
CVE-2024-23832 требует незамедлительных действий от администраторов.


9ksa1xve4kw0nkguby6htzajwpzc2zz0.jpg


Децентрализованная социальная сеть Mastodon Для просмотра ссылки Войди или Зарегистрируйся серьёзную уязвимость в безопасности, которая позволяет злоумышленникам притворяться другими пользователями и захватывать их аккаунты.

«Из-за недостаточной проверки происхождения во всех версиях Mastodon злоумышленники могут подделать свой аккаунт под любой другой», — говорится в кратком предупреждении.

Уязвимость, идентифицированная как Для просмотра ссылки Войди или Зарегистрируйся , имеет оценку CVSS 9,4 из максимальных 10. За её обнаружение и уведомление был отмечен исследователь в области кибербезопасности под псевдонимом «arcanicanis».

Уязвимость описывается как «ошибка проверки происхождения» ( Для просмотра ссылки Войди или Зарегистрируйся ), которая, как правило, позволяет атакующему получить доступ к функционалу, который не должен был быть доступен ему изначально.

Уязвимыми являются все версии Mastodon до 3.5.17, а также версии 4.0.x до 4.0.13, 4.1.x до 4.1.13 и 4.2.x до 4.2.5.

Mastodon сообщила, что дополнительные технические подробности об уязвимости будут представлены только 15 февраля 2024 года, чтобы дать администраторам достаточно времени на обновление и предотвращение возможности злоупотребления.

«Любое количество деталей сделало бы создание эксплойта очень простым», — говорится в сообщении.

Платформа Mastodon работает на отдельных серверах (инстансах), независимо управляемых и обслуживаемых отдельными администраторами, которые создают свои собственные правила и регламенты, соблюдаемые на локальном уровне.

Это также означает, что каждый инстанс имеет собственный кодекс поведения, правила использования, политику конфиденциальности и регулирование контента, а также требует, чтобы каждый администратор своевременно устанавливал обновления безопасности для защиты инстансов от потенциальных рисков.

Раскрытие угрозы произошло почти через семь месяцев после того, как Mastodon устранила Для просмотра ссылки Войди или Зарегистрируйся ( Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся ), которые могли бы быть использованы злоумышленниками для проведения атаки типа «отказ в обслуживании» или выполнения удалённого кода.
 
Источник новости
www.securitylab.ru

Похожие темы