{"id":843003,"date":"2023-07-07T17:17:01","date_gmt":"2023-07-07T17:17:01","guid":{"rendered":"https:\/\/teknomers.com\/es\/mastodon-social-network-corrige-fallas-criticas-que-permiten-la-toma-de-control-del-servidor\/"},"modified":"2023-07-07T17:17:04","modified_gmt":"2023-07-07T17:17:04","slug":"mastodon-social-network-corrige-fallas-criticas-que-permiten-la-toma-de-control-del-servidor","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/mastodon-social-network-corrige-fallas-criticas-que-permiten-la-toma-de-control-del-servidor\/","title":{"rendered":"Mastodon Social Network corrige fallas cr\u00edticas que permiten la toma de control del servidor"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Swati Khandelwal<\/span><\/span><span class=\"p-tags\">Vulnerabilidad \/ Redes Sociales<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Mastodon, una popular red social descentralizada, ha lanzado una actualizaci\u00f3n de seguridad para corregir vulnerabilidades cr\u00edticas que podr\u00edan exponer a millones de usuarios a posibles ataques.<\/p>\n<p>Mastodon es conocido por su modelo federado, que consta de miles de servidores separados llamados &#8220;instancias&#8221;, y tiene m\u00e1s de 14 millones de usuarios en m\u00e1s de 20 000 instancias.<\/p>\n<p>La vulnerabilidad m\u00e1s cr\u00edtica, <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/mastodon\/mastodon\/security\/advisories\/GHSA-9928-3cp5-93fm\" target=\"_blank\">CVE-2023-36460<\/a>permite a los piratas inform\u00e1ticos explotar una falla en la funci\u00f3n de archivos adjuntos de medios, creando y sobrescribiendo archivos en cualquier ubicaci\u00f3n a la que el software pueda acceder en una instancia.<\/p>\n<p>Esta vulnerabilidad de software podr\u00eda usarse para DoS y ataques de ejecuci\u00f3n de c\u00f3digo remoto arbitrario, lo que representa una amenaza significativa para los usuarios y el ecosistema de Internet en general.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Si un atacante obtiene el control de varias instancias, podr\u00eda causar da\u00f1o al indicar a los usuarios que descarguen aplicaciones maliciosas o incluso derribar toda la infraestructura de Mastodon.  Afortunadamente, no hay evidencia de que esta vulnerabilidad haya sido explotada hasta el momento.<\/p>\n<p>La falla cr\u00edtica se descubri\u00f3 como parte de una iniciativa integral de prueba de penetraci\u00f3n financiada por la Fundaci\u00f3n Mozilla y realizada por Cure53.<\/p>\n<p>El reciente lanzamiento del parche <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/mastodon\/mastodon\/security\/advisories\" target=\"_blank\">abord\u00f3 cinco vulnerabilidades<\/a>, incluido otro problema cr\u00edtico rastreado como CVE-2023-36459.  Esta vulnerabilidad podr\u00eda permitir a los atacantes inyectar HTML arbitrario en las tarjetas de vista previa de oEmbed, sin pasar por el proceso de saneamiento de HTML de Mastodon.<\/p>\n<p>En consecuencia, esto introdujo un vector para las cargas \u00fatiles de Cross-Site Scripting (XSS) que pod\u00edan ejecutar c\u00f3digo malicioso cuando los usuarios hac\u00edan clic en tarjetas de vista previa asociadas con enlaces maliciosos.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>\ud83d\udd10 Gesti\u00f3n de acceso privilegiado: aprenda a superar desaf\u00edos clave<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Descubra diferentes enfoques para conquistar los desaf\u00edos de la administraci\u00f3n de cuentas privilegiadas (PAM) y suba de nivel su estrategia de seguridad de acceso privilegiado.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-button\">Reserve su lugar<\/a><\/section>\n<p>Las tres vulnerabilidades restantes se clasificaron como de gravedad alta y media.  Incluyeron &#8220;inyecci\u00f3n ciega de LDAP en el inicio de sesi\u00f3n&#8221;, que permiti\u00f3 a los atacantes extraer atributos arbitrarios de la base de datos LDAP, &#8220;denegaci\u00f3n de servicio a trav\u00e9s de respuestas HTTP lentas&#8221; y un problema de formato con &#8220;enlaces de perfil verificados&#8221;.  Cada una de estas fallas plante\u00f3 diferentes niveles de riesgo para los usuarios de Mastodon.<\/p>\n<p>Para protegerse, los usuarios de Mastodon solo necesitan asegurarse de que su instancia suscrita haya instalado las actualizaciones necesarias de inmediato.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/mastodon-social-network-patches.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 de julio de 2023\ue804Swati KhandelwalVulnerabilidad \/ Redes Sociales Mastodon, una popular red social descentralizada, ha lanzado una<\/p>\n","protected":false},"author":1,"featured_media":843004,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,2343,24631,2026,38,3233,4662,4668,4667,74184,12064,4654,4658,4659,4653,4655,35765,4663,4666,4665,42529,3379,1298,4660],"class_list":["post-843003","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-control","tag-corrige","tag-criticas","tag-del","tag-fallas","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-mastodon","tag-network","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-permiten","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-servidor","tag-social","tag-toma","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/843003","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=843003"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/843003\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/843004"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=843003"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=843003"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=843003"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}