Мастодон, децентрализована друштвена мрежа, закрпила је безбедносни пропуст који би могао дозволити актерима претњи да се лажно представљају и преузму сваки рачун. Рањивост, праћена као ЦВЕ-2024-23832, има ЦВСС оцену 9,4 и представља критично питање за кориснике Мастодонта.

Грешка је повезана са недовољном валидацијом порекла у свим верзијама Мастодона пре 3.5.17, као и верзијама 4.0.к пре 4.0.13, 4.1.к верзијама пре 4.1.13 и 4.2.к верзијама пре 4.2 .5. Ово потенцијално може довести до озбиљних последица ако га злонамерни актери искористе.

Према детаљима објављеним у саветовању, грешку је открио истраживач безбедности арцаницанис и представља значајан ризик за кориснике Мастодонта. Недостатак валидације омогућава нападачима да се лажно представљају и преузму било који удаљени налог, изазивајући забринутост за безбедност и интегритет платформе.

Мастодон је заказао објављивање техничких детаља о рањивости након 15. фебруара 2024. године, пружајући администраторима сервера довољно времена да ажурирају своје инстанце. Овај проактивни приступ има за циљ да ублажи могући утицај рањивости и спречи експлоатацију великих размера у дивљини.

Међутим, одржаваоци пројекта Мастодон страхују да би актери претњи могли да почну са широком експлоатацијом овог проблема ако буду доступне детаљне информације о рањивости. Као резултат тога, савет ће бити ажуриран са више детаља након 15. фебруара 2024, када администратори сервера буду имали довољно времена да ажурирају своје инстанце. Овај опрезни приступ има за циљ да спречи стварање експлоатација на основу детаља о рањивости.

Ово није први пут да се Мастодон суочава са безбедносним изазовима. У јулу 2023., платформа је решила критичну грешку у вези са функцијом медијских прилога, праћеном као ЦВЕ-2023-36460. Овај проблем је омогућио нападачима да креирају и преписују датотеке на било којој доступној локацији унутар инстанце, што је потенцијално довело до ускраћивања услуге (ДоС) и произвољног даљинског извршавања кода. Брза реакција и закрпе ових рањивости показују Мастодон-ову посвећеност решавању безбедносних проблема и заштити својих корисника.

У закључку, брза идентификација и закрпе рањивости од стране Мастодона наглашавају важност проактивних безбедносних мера у решавању критичних недостатака који могу имати озбиљне последице по кориснике. Овај инцидент такође наглашава потребу за темељним тестирањем и валидацијом порекла како би се спречила потенцијална преузимања налога и напади лажног представљања. Са Мастодоновим планом да објави техничке детаље након што администраторима да време за ажурирање, платформа има за циљ да минимизира ризик од експлоатације и заштити безбедност и интегритет своје мреже за све кориснике.

Извор линк