A vulnerabilidade do Mastodon permite que hackers sequestrem qualquer conta descentralizada
![social](https://i3.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg28r9uXfwuvVprDCNFUhSS42d1e0quf3e3gmcsQyVwXu8G1hmZHE7185AKkIufK4r_2KeG3EDKEJjggkMkc2mRTflbKVEAvYUjSchMTs9eQFB38wpcFS6SqcaL1b_q1BD-CWodTFhpnxiFnFlkTIlKG-QCI99Yyd9T3wvENckuQgYF6GsCL0Xb1ipBs_9C/s728-rw-ft-e30/social.jpg?w=780&resize=780,470&ssl=1)
![Vulnerabilidade do Mastodonte Vulnerabilidade do Mastodonte](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg28r9uXfwuvVprDCNFUhSS42d1e0quf3e3gmcsQyVwXu8G1hmZHE7185AKkIufK4r_2KeG3EDKEJjggkMkc2mRTflbKVEAvYUjSchMTs9eQFB38wpcFS6SqcaL1b_q1BD-CWodTFhpnxiFnFlkTIlKG-QCI99Yyd9T3wvENckuQgYF6GsCL0Xb1ipBs_9C/s728-rw-ft-e30/social.jpg)
A rede social descentralizada Mastodon revelou uma irregularidade sátira de segurança que permite que atores mal-intencionados se façam passar por qualquer conta e assumam o controle.
“Devido à validação insuficiente da origem em todos os Mastodon, os invasores podem se passar por qualquer conta remota e assumir o controle”, disseram os mantenedores em um enviado curto.
A vulnerabilidade, rastreada porquê CVE-2024-23832tem uma classificação de seriedade de 9,4 em um supremo de 10. O pesquisador de segurança arcanicanis recebeu o crédito por descobri-lo e relatá-lo.
Foi descrito porquê um “erro de validação de origem” (CWE-346), que normalmente pode permitir que um invasor “acesse qualquer funcionalidade que seja inadvertidamente atingível à manadeira”.
Cada versão do Mastodon anterior a 3.5.17 é vulnerável, assim porquê as versões 4.0.x anteriores a 4.0.13, versões 4.1.x anteriores a 4.1.13 e versões 4.2.x anteriores a 4.2.5.
Mastodon disse que está retendo detalhes técnicos adicionais sobre a irregularidade até 15 de fevereiro de 2024, para dar aos administradores tempo suficiente para atualizar as instâncias do servidor e evitar a verosimilhança de exploração.
“Qualquer quantidade de detalhes tornaria muito fácil encontrar uma exploração”, afirmou.
A natureza federada da plataforma significa que ela é executada em servidores separados (também conhecidos porquê instâncias), hospedados de forma independente e operados pelos respectivos administradores que criam suas próprias regras e regulamentos que são aplicados localmente.
Isso também significa que não exclusivamente cada instância possui um código de conduta, termos de serviço, política de privacidade e diretrizes de moderação de teor exclusivos, mas também exige que cada gestor aplique atualizações de segurança em tempo hábil para proteger as instâncias contra riscos potenciais.
A divulgação chega quase sete meses depois que o Mastodon corrigiu duas outras falhas críticas (CVE-2023-36460 e 2023-36459) que poderiam ter sido utilizadas por adversários para ocasionar negação de serviço (DoS) ou obter realização remota de código.