Mastodon, un réseau social décentralisé populaire, a publié une mise à jour de sécurité pour corriger les vulnérabilités critiques qui pourraient exposer des millions d’utilisateurs à des attaques potentielles.
Mastodon est connu pour son modèle fédéré, composé de milliers de serveurs séparés appelés « instances », et il compte plus de 14 millions d’utilisateurs sur plus de 20 000 instances.
La vulnérabilité la plus critique, CVE-2023-36460permet aux pirates d’exploiter une faille dans la fonctionnalité des pièces jointes multimédias, en créant et en écrasant des fichiers à n’importe quel endroit auquel le logiciel pourrait accéder sur une instance.
Cette vulnérabilité logicielle pourrait être utilisée pour des attaques DoS et d’exécution arbitraire de code à distance, ce qui représente une menace importante pour les utilisateurs et l’écosystème Internet au sens large.
Si un attaquant prend le contrôle de plusieurs instances, il pourrait causer des dommages en demandant aux utilisateurs de télécharger des applications malveillantes ou même de faire tomber toute l’infrastructure Mastodon. Heureusement, il n’y a aucune preuve que cette vulnérabilité soit exploitée jusqu’à présent.
La faille critique a été découverte dans le cadre d’une initiative complète de tests d’intrusion financée par la Fondation Mozilla et menée par Cure53.
La récente version du correctif corrigé cinq vulnérabilités, y compris un autre problème critique identifié comme CVE-2023-36459. Cette vulnérabilité pourrait permettre aux attaquants d’injecter du code HTML arbitraire dans les cartes de prévisualisation oEmbed, en contournant le processus de nettoyage HTML de Mastodon.
Par conséquent, cela a introduit un vecteur pour les charges utiles Cross-Site Scripting (XSS) qui pouvaient exécuter du code malveillant lorsque les utilisateurs cliquaient sur des cartes de prévisualisation associées à des liens malveillants.
🔐 Gestion des accès privilégiés : apprenez à relever les principaux défis
Découvrez différentes approches pour relever les défis de la gestion des comptes privilégiés (PAM) et améliorer votre stratégie de sécurité des accès privilégiés.
Les trois vulnérabilités restantes ont été classées comme étant de gravité élevée et moyenne. Ils comprenaient «l’injection LDAP aveugle dans la connexion», qui permettait aux attaquants d’extraire des attributs arbitraires de la base de données LDAP, «le déni de service via des réponses HTTP lentes» et un problème de formatage avec «liens de profil vérifiés». Chacune de ces failles posait différents niveaux de risque aux utilisateurs de Mastodon.
Pour se protéger, les utilisateurs de Mastodon n’ont qu’à s’assurer que leur instance abonnée a installé rapidement les mises à jour nécessaires.