A rede social descentralizada Mastodon revelou uma irregularidade sátira de segurança que permite que atores mal-intencionados se façam passar por qualquer conta e assumam o controle.
“Devido à validação insuficiente da origem em todos os Mastodon, os invasores podem se passar por qualquer conta remota e assumir o controle”, disseram os mantenedores em um enviado curto.
A vulnerabilidade, rastreada porquê CVE-2024-23832tem uma classificação de seriedade de 9,4 em um supremo de 10. O pesquisador de segurança arcanicanis recebeu o crédito por descobri-lo e relatá-lo.
Foi descrito porquê um “erro de validação de origem” (CWE-346), que normalmente pode permitir que um invasor “acesse qualquer funcionalidade que seja inadvertidamente atingível à manadeira”.
Cada versão do Mastodon anterior a 3.5.17 é vulnerável, assim porquê as versões 4.0.x anteriores a 4.0.13, versões 4.1.x anteriores a 4.1.13 e versões 4.2.x anteriores a 4.2.5.
Mastodon disse que está retendo detalhes técnicos adicionais sobre a irregularidade até 15 de fevereiro de 2024, para dar aos administradores tempo suficiente para atualizar as instâncias do servidor e evitar a verosimilhança de exploração.
“Qualquer quantidade de detalhes tornaria muito fácil encontrar uma exploração”, afirmou.
A natureza federada da plataforma significa que ela é executada em servidores separados (também conhecidos porquê instâncias), hospedados de forma independente e operados pelos respectivos administradores que criam suas próprias regras e regulamentos que são aplicados localmente.
Isso também significa que não exclusivamente cada instância possui um código de conduta, termos de serviço, política de privacidade e diretrizes de moderação de teor exclusivos, mas também exige que cada gestor aplique atualizações de segurança em tempo hábil para proteger as instâncias contra riscos potenciais.
A divulgação chega quase sete meses depois que o Mastodon corrigiu duas outras falhas críticas (CVE-2023-36460 e 2023-36459) que poderiam ter sido utilizadas por adversários para ocasionar negação de serviço (DoS) ou obter realização remota de código.
