Múltiples vulnerabilidades en Mastodon

Múltiples vulnerabilidades en Mastodon
Lun, 10/07/2023 – 09:26

Recursos Afectados

Las versiones de Mastodon 1.3 y superiores hasta la 3.5.8, 4.0.4 y 4.1.2.

Descripción

Se han descubierto 2 vulnerabilidades de severidad crítica que podrían permitir a un atacante crear o sobrescribir cualquier archivo al que Mastodon tenga acceso, provocando un Cross-Site-Scripting (XSS), una denegación de servicio o ejecución remota de código arbitrario.

5 – Crítica
Solución

Se recomienda a los usuarios de las versiones afectadas que actualicen inmediatamente a las versiones parcheadas:

  • 4.1.3;
  • 4.0.5;
  • 3.5.9.
Detalle

Mastodon es un servidor de red social gratuito y de código abierto basado en ActivityPub.

  • Utilizando datos oEmbed maliciosos, un atacante podría eludir la sanitización de HTML realizada por Mastodon e incluir HTML arbitrario en las tarjetas de vista previa oEmbed. Se ha asignado el identificador CVE-2023-36459 para esta vulnerabilidad.
  • Los atacantes que usan archivos multimedia especialmente diseñados podrían provocar que el código de procesamiento de medios genere archivos arbitrarios en cualquier ubicación. Esto permite a los atacantes crear y sobrescribir cualquier archivo al que tenga acceso Mastodon, lo que permite la denegación de servicio y la ejecución remota de código arbitraria. Se ha asignado el identificador CVE-2023-36460 para esta vulnerabilidad (TootRoot).

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.