
Mastodon, una popular red social descentralizada, ha lanzado una actualización de seguridad para corregir vulnerabilidades críticas que podrían exponer a millones de usuarios a posibles ataques.
Mastodon es conocido por su modelo federado, que consta de miles de servidores separados llamados “instancias”, y tiene más de 14 millones de usuarios en más de 20 000 instancias.
La vulnerabilidad más crítica, CVE-2023-36460permite a los piratas informáticos explotar una falla en la función de archivos adjuntos de medios, creando y sobrescribiendo archivos en cualquier ubicación a la que el software pueda acceder en una instancia.
Esta vulnerabilidad de software podría usarse para DoS y ataques de ejecución de código remoto arbitrario, lo que representa una amenaza significativa para los usuarios y el ecosistema de Internet en general.
Si un atacante obtiene el control de varias instancias, podría causar daño al indicar a los usuarios que descarguen aplicaciones maliciosas o incluso derribar toda la infraestructura de Mastodon. Afortunadamente, no hay evidencia de que esta vulnerabilidad haya sido explotada hasta el momento.
La falla crítica se descubrió como parte de una iniciativa integral de prueba de penetración financiada por la Fundación Mozilla y realizada por Cure53.
El reciente lanzamiento del parche abordó cinco vulnerabilidades, incluido otro problema crítico rastreado como CVE-2023-36459. Esta vulnerabilidad podría permitir a los atacantes inyectar HTML arbitrario en las tarjetas de vista previa de oEmbed, sin pasar por el proceso de saneamiento de HTML de Mastodon.
En consecuencia, esto introdujo un vector para las cargas útiles de Cross-Site Scripting (XSS) que podían ejecutar código malicioso cuando los usuarios hacían clic en tarjetas de vista previa asociadas con enlaces maliciosos.
🔐 Gestión de acceso privilegiado: aprenda a superar desafíos clave
Descubra diferentes enfoques para conquistar los desafíos de la administración de cuentas privilegiadas (PAM) y suba de nivel su estrategia de seguridad de acceso privilegiado.
Las tres vulnerabilidades restantes se clasificaron como de gravedad alta y media. Incluyeron “inyección ciega de LDAP en el inicio de sesión”, que permitió a los atacantes extraer atributos arbitrarios de la base de datos LDAP, “denegación de servicio a través de respuestas HTTP lentas” y un problema de formato con “enlaces de perfil verificados”. Cada una de estas fallas planteó diferentes niveles de riesgo para los usuarios de Mastodon.
Para protegerse, los usuarios de Mastodon solo necesitan asegurarse de que su instancia suscrita haya instalado las actualizaciones necesarias de inmediato.


