Mastodon, a plataforma de rede social descentralizada gratuita e de código aberto, corrigiu quatro vulnerabilidades, uma delas crítica que permite aos hackers criar arquivos arbitrários no servidor usando arquivos de mídia especialmente criados.
O Mastodon tem cerca de 8,8 milhões de usuários espalhados por 13.000 servidores separados (instâncias) hospedados por voluntários para suportar comunidades distintas mas interconectadas (federadas).
Todas as quatro questões corrigidas foram descobertas por auditores independentes da Cure53, uma empresa que fornece testes de penetração para serviços online.
Os auditores inspecionaram o código do Mastodon a pedido da Mozilla.
A mais grave das vulnerabilidades é rastreada como
CVE-2023-36460
e foi nomeada TootRoot.
Ela oferece aos invasores uma maneira particularmente fácil de comprometer servidores alvo.
CVE-2023-36460
é um problema no código de processamento de mídia do Mastodon que permite usar arquivos de mídia em toots (equivalente a tuítes) para causar uma série de problemas, desde negação de serviço (DoS) até execução arbitrária remota de códigos.
Embora o boletim de segurança do Mastodon seja lacônico, o pesquisador em segurança Kevin Beaumont destacou os riscos associados ao TootRoot, dizendo que um toot pode ser usado para plantar backdoors nos servidores que entregam conteúdo aos usuários do Mastodon.
Tal comprometimento daria aos invasores controle ilimitado sobre o servidor e os dados que ele hospeda e gerencia, estendendo-se às informações sensíveis dos usuários.
A segunda falha crítica é a
CVE-2023-36459
, um cross-site scripting (XSS) nas cartas de prévia oEmbed usadas no Mastodon que permite contornar a sanitização HTML no navegador alvo.
Ataques aproveitando esta falha poderiam ser usados para sequestro da conta, personificação do usuário ou acesso à dados sensíveis.
As outras duas vulnerabilidades abordadas pelo Mastodon são
CVE-2023-36461
, uma falha DoS severa através respostas lentas HTTP, e
CVE-2023-36462
, também classificada com alta gravidade permitindo que um atacante formate um link perfil verificado em maneira enganosa possibilitando ataques phishing.
As quatro vulnerabilidades afetam todas as versões do Mastodon desde 3.5.0 em diante e foram corrigidas nas versões 3.5.9, 4.0.5 e 4.1.3.
Os patches são atualizações de segurança do servidor e precisam ser aplicados pelos administradores para remover o risco para suas comunidades.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...