رقیب رسانه های اجتماعی ماستودون اصلاحی برای کمتر از پنج آسیبپذیری امنیتی جدید صادر کرده است که اکثر آنها به عنوان شدت بالا یا بحرانی طبقهبندی میشوند.
این ایرادات شامل CVE-2023-36460 میشود که میتوانست به مهاجم اجازه دهد هر فایلی را که Mastodon به آن دسترسی دارد ایجاد و بازنویسی کند و امکان انکار سرویس و اجرای کد از راه دور دلخواه را فراهم کند. بهروزرسانی تأیید میکند که نسخههای 3.5.9، 4.0.5 و 4.1.3 دارای یک وصله برای این آسیبپذیری هستند.
با وجود مروری کوتاه، جزئیات کمی در مورد این آسیب پذیری تایید شده است. اعتقاد بر این است که یک مهاجم ممکن است بتواند گسترش یابد بد افزار با استفاده از این آسیب پذیری، اما هنوز مشخص نیست که آیا یک سوء استفاده فعال وجود داشته است یا خیر.
وصله های امنیتی Mastodon
در توضیح آسیبپذیری دیگری که به نام CVE-2023-36462 شناخته میشود، آمده است: «یک مهاجم میتواند یک پیوند نمایه تأیید شده را با استفاده از قالببندی خاص ایجاد کند تا بخشهای دلخواه پیوند را پنهان کند، و به نظر برسد که به طور کلی به یک URL دیگر پیوند دارد.» در نظر گرفته شد که این کمترین عواقب را دارد که به عنوان متوسط مشخص شده است.
از این طریق، یک مهاجم ممکن است بتواند URL ها را دوباره قالب بندی کند تا این واقعیت را پنهان کند که در عوض به کمپین های فیشینگ یا سایت های بدافزار هدایت می شوند.
مسائل مهم و مهم دیگری که برطرف شده اند عبارتند از آسیب پذیری حمله انکار سرویس از نوع slowloris، حملات اسکریپت بین سایتی (XSS) و احتمال نشت ویژگی های دلخواه مهاجم از پایگاه داده LDAP.
در حالی که Mastodon مسئول صدور اصلاحات است، Cure53 با کمک مالی بنیاد موزیلا، اعتبار تست نفوذ را دریافت کرده است.
این در زمانی اتفاق می افتد که Mastodon همچنان به جذب کاربران جدید رسانه های اجتماعی ادامه می دهد، زیرا کاربران توییتر به دنبال کنار گذاشتن پلتفرم تحت رهبری ماسک هستند. با لیندا یاکارینو، مدیرعامل جدید، تغییرات مثبت هنوز محقق نشده است. در همان زمان، پلتفرم Threads جدید متا در تلاش است تا کاربران سابق توییتر را جذب کند.
آخرین دیدگاهها