Lun, 10/07/2023 – 09:26
Las versiones de Mastodon 1.3 y superiores hasta la 3.5.8, 4.0.4 y 4.1.2.
Se han descubierto 2 vulnerabilidades de severidad crĂtica que podrĂan permitir a un atacante crear o sobrescribir cualquier archivo al que Mastodon tenga acceso, provocando un Cross-Site-Scripting (XSS), una denegaciĂłn de servicio o ejecuciĂłn remota de cĂłdigo arbitrario.
Se recomienda a los usuarios de las versiones afectadas que actualicen inmediatamente a las versiones parcheadas:
- 4.1.3;
- 4.0.5;
- 3.5.9.
Mastodon es un servidor de red social gratuito y de cĂłdigo abierto basado en ActivityPub.
- Utilizando datos oEmbed maliciosos, un atacante podrĂa eludir la sanitizaciĂłn de HTML realizada por Mastodon e incluir HTML arbitrario en las tarjetas de vista previa oEmbed. Se ha asignado el identificador CVE-2023-36459 para esta vulnerabilidad.
- Los atacantes que usan archivos multimedia especialmente diseñados podrĂan provocar que el cĂłdigo de procesamiento de medios genere archivos arbitrarios en cualquier ubicaciĂłn. Esto permite a los atacantes crear y sobrescribir cualquier archivo al que tenga acceso Mastodon, lo que permite la denegaciĂłn de servicio y la ejecuciĂłn remota de cĂłdigo arbitraria. Se ha asignado el identificador CVE-2023-36460 para esta vulnerabilidad (TootRoot).
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.