Mastodon, la plataforma de red social descentralizada gratuita y de código abierto, ha reparado cuatro vulnerabilidades, una de ellas crítica que permite a los piratas informáticos crear archivos arbitrarios en el servidor utilizando archivos multimedia especialmente diseñados.
Mastodon tiene alrededor de 8,8 millones de usuarios repartidos en 13 000 servidores independientes (instancias) alojados por voluntarios para apoyar comunidades distintas pero interconectadas (federadas).
Los cuatro problemas solucionados fueron descubiertos por auditores independientes de Cure53, una empresa que proporciona pruebas de penetración para servicios en línea. Los auditores inspeccionaron el código de Mastodon a pedido de Mozilla.
La más grave de las vulnerabilidades se rastrea como CVE-2023-36460 y se ha denominado TootRoot. Brinda a los atacantes una forma particularmente fácil de comprometer los servidores de destino.
CVE-2023-36460 es un problema en el código de procesamiento de medios de Mastodon que permite usar archivos de medios en toots (el equivalente a tweets) para causar una variedad de problemas, desde denegación de servicio (DoS) hasta ejecución de código remoto arbitrario.
Aunque el boletín de seguridad de Mastodon es lacónico, el investigador de seguridad Kevin Beaumont destacó los riesgos asociados con TootRoot y dijo que se puede usar un toot para plantar puertas traseras en los servidores que entregan contenido a los usuarios de Mastodon.
Tal compromiso daría a los atacantes un control ilimitado sobre el servidor y los datos que aloja y administra, y se extiende a la información confidencial de los usuarios.
La segunda falla de gravedad crítica es CVE-2023-36459 , una secuencia de comandos entre sitios (XSS) en las tarjetas de vista previa oEmbed utilizadas en Mastodon que permite eludir la desinfección de HTML en el navegador de destino.
Los ataques que aprovechan esta falla podrían usarse para el secuestro de cuentas, la suplantación de identidad del usuario o el acceso a datos confidenciales.
Las otras dos vulnerabilidades que abordó Mastodon son CVE-2023-36461 , una falla DoS de alta gravedad a través de respuestas HTTP lentas, y CVE-2023-36462 , también clasificada con alta gravedad que permite a un atacante formatear un enlace de perfil verificado de forma engañosa. manera que se puede utilizar para el phishing.
Las cuatro vulnerabilidades afectan a todas las versiones de Mastodon a partir de la 3.5.0 y se parchearon en las versiones 3.5.9, 4.0.5 y 4.1.3.
Los parches son actualizaciones de seguridad del servidor y los administradores deben aplicarlos para eliminar el riesgo para sus comunidades.
