9.4 из 10: Mastodon сообщает о критической уязвимости с захватом аккаунтов
CVE-2024-23832 требует незамедлительных действий от администраторов.
Децентрализованная социальная сеть Mastodon раскрыла серьёзную уязвимость в безопасности, которая позволяет злоумышленникам притворяться другими пользователями и захватывать их аккаунты.
«Из-за недостаточной проверки происхождения во всех версиях Mastodon злоумышленники могут подделать свой аккаунт под любой другой», — говорится в кратком предупреждении.
Уязвимость, идентифицированная как CVE-2024-23832 , имеет оценку CVSS 9,4 из максимальных 10. За её обнаружение и уведомление был отмечен исследователь в области кибербезопасности под псевдонимом «arcanicanis».
Уязвимость описывается как «ошибка проверки происхождения» ( origin validation error ), которая, как правило, позволяет атакующему получить доступ к функционалу, который не должен был быть доступен ему изначально.
Уязвимыми являются все версии Mastodon до 3.5.17, а также версии 4.0.x до 4.0.13, 4.1.x до 4.1.13 и 4.2.x до 4.2.5.
Mastodon сообщила, что дополнительные технические подробности об уязвимости будут представлены только 15 февраля 2024 года, чтобы дать администраторам достаточно времени на обновление и предотвращение возможности злоупотребления.
«Любое количество деталей сделало бы создание эксплойта очень простым», — говорится в сообщении.
Платформа Mastodon работает на отдельных серверах (инстансах), независимо управляемых и обслуживаемых отдельными администраторами, которые создают свои собственные правила и регламенты, соблюдаемые на локальном уровне.
Это также означает, что каждый инстанс имеет собственный кодекс поведения, правила использования, политику конфиденциальности и регулирование контента, а также требует, чтобы каждый администратор своевременно устанавливал обновления безопасности для защиты инстансов от потенциальных рисков.
Раскрытие угрозы произошло почти через семь месяцев после того, как Mastodon устранила две другие критические уязвимости ( CVE-2023-36460 и 2023-36459 ), которые могли бы быть использованы злоумышленниками для проведения атаки типа «отказ в обслуживании» или выполнения удалённого кода.
Ваша приватность умирает красиво, но мы можем спасти её.