Lun, 10/07/2023 – 09:26
Las versiones de Mastodon 1.3 y superiores hasta la 3.5.8, 4.0.4 y 4.1.2.
Se han descubierto 2 vulnerabilidades de severidad crítica que podrían permitir a un atacante crear o sobrescribir cualquier archivo al que Mastodon tenga acceso, provocando un Cross-Site-Scripting (XSS), una denegación de servicio o ejecución remota de código arbitrario.
Se recomienda a los usuarios de las versiones afectadas que actualicen inmediatamente a las versiones parcheadas:
- 4.1.3;
- 4.0.5;
- 3.5.9.
Mastodon es un servidor de red social gratuito y de código abierto basado en ActivityPub.
- Utilizando datos oEmbed maliciosos, un atacante podría eludir la sanitización de HTML realizada por Mastodon e incluir HTML arbitrario en las tarjetas de vista previa oEmbed. Se ha asignado el identificador CVE-2023-36459 para esta vulnerabilidad.
- Los atacantes que usan archivos multimedia especialmente diseñados podrían provocar que el código de procesamiento de medios genere archivos arbitrarios en cualquier ubicación. Esto permite a los atacantes crear y sobrescribir cualquier archivo al que tenga acceso Mastodon, lo que permite la denegación de servicio y la ejecución remota de código arbitraria. Se ha asignado el identificador CVE-2023-36460 para esta vulnerabilidad (TootRoot).
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.