Mastodon نقص امنیتی بزرگی را که می‌توانست اجازه سرقت سیستم را بدهد، برطرف می‌کند

رقیب رسانه های اجتماعی ماستودون اصلاحی برای کمتر از پنج آسیب‌پذیری امنیتی جدید صادر کرده است که اکثر آنها به عنوان شدت بالا یا بحرانی طبقه‌بندی می‌شوند.

این ایرادات شامل CVE-2023-36460 می‌شود که می‌توانست به مهاجم اجازه دهد هر فایلی را که Mastodon به آن دسترسی دارد ایجاد و بازنویسی کند و امکان انکار سرویس و اجرای کد از راه دور دلخواه را فراهم کند. به‌روزرسانی تأیید می‌کند که نسخه‌های 3.5.9، 4.0.5 و 4.1.3 دارای یک وصله برای این آسیب‌پذیری هستند.

با وجود مروری کوتاه، جزئیات کمی در مورد این آسیب پذیری تایید شده است. اعتقاد بر این است که یک مهاجم ممکن است بتواند گسترش یابد بد افزار با استفاده از این آسیب پذیری، اما هنوز مشخص نیست که آیا یک سوء استفاده فعال وجود داشته است یا خیر.

وصله های امنیتی Mastodon

در توضیح آسیب‌پذیری دیگری که به نام CVE-2023-36462 شناخته می‌شود، آمده است: «یک مهاجم می‌تواند یک پیوند نمایه تأیید شده را با استفاده از قالب‌بندی خاص ایجاد کند تا بخش‌های دلخواه پیوند را پنهان کند، و به نظر برسد که به طور کلی به یک URL دیگر پیوند دارد.» در نظر گرفته شد که این کمترین عواقب را دارد که به عنوان متوسط ​​مشخص شده است.

از این طریق، یک مهاجم ممکن است بتواند URL ها را دوباره قالب بندی کند تا این واقعیت را پنهان کند که در عوض به کمپین های فیشینگ یا سایت های بدافزار هدایت می شوند.

مسائل مهم و مهم دیگری که برطرف شده اند عبارتند از آسیب پذیری حمله انکار سرویس از نوع slowloris، حملات اسکریپت بین سایتی (XSS) و احتمال نشت ویژگی های دلخواه مهاجم از پایگاه داده LDAP.

در حالی که Mastodon مسئول صدور اصلاحات است، Cure53 با کمک مالی بنیاد موزیلا، اعتبار تست نفوذ را دریافت کرده است.

این در زمانی اتفاق می افتد که Mastodon همچنان به جذب کاربران جدید رسانه های اجتماعی ادامه می دهد، زیرا کاربران توییتر به دنبال کنار گذاشتن پلتفرم تحت رهبری ماسک هستند. با لیندا یاکارینو، مدیرعامل جدید، تغییرات مثبت هنوز محقق نشده است. در همان زمان، پلتفرم Threads جدید متا در تلاش است تا کاربران سابق توییتر را جذب کند.