Vulnerabilidad de Mastodon permite secuestrar cualquier cuenta descentralizada

Iniciado por AXCESS, Febrero 05, 2024, 11:24:36 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 05, 2024, 11:24:36 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La red social descentralizada Mastodon ha revelado una falla de seguridad crítica que permite a actores maliciosos hacerse pasar por cualquier cuenta y apoderarse de ella.

"Debido a una validación de origen insuficiente en todo Mastodon, los atacantes pueden hacerse pasar por cualquier cuenta remota y apoderarse de ella", dijeron los responsables en un escueto aviso.

La vulnerabilidad, rastreada como CVE-2024-23832, tiene una calificación de gravedad de 9,4 sobre un máximo de 10. Al investigador de seguridad arcicanis se le atribuye haberla descubierto e informado.

Se ha descrito como un "error de validación de origen" (CWE-346), que normalmente puede permitir a un atacante "acceder a cualquier funcionalidad".

"Cualquier cantidad de detalles haría que fuera muy fácil encontrar un exploit", decía.

La naturaleza federada de la plataforma significa que se ejecuta en servidores separados (también conocidos como instancias), alojados y operados de forma independiente por los respectivos administradores que crean sus propias reglas y regulaciones y estas se aplican localmente.

Esto también significa que no solo cada instancia tiene un código de conducta, términos de servicio, política de privacidad y pautas de moderación de contenido únicos, sino que también requiere que cada administrador aplique actualizaciones de seguridad de manera oportuna para proteger las instancias contra riesgos potenciales.

La divulgación llega casi siete meses después de que Mastodon abordara otras dos fallas críticas (CVE-2023-36460 y 2023-36459) que los adversarios podrían haber utilizado como arma para causar denegación de servicio (DoS) o lograr la ejecución remota de código.

Todas las versiones de Mastodon anteriores a la 3.5.17 son vulnerables, al igual que las versiones 4.0.x anteriores a la 4.0.13, las versiones 4.1.x anteriores a la 4.1.13 y las versiones 4.2.x anteriores a la 4.2.5.

Mastodon dijo que retendrá detalles técnicos adicionales sobre la falla hasta el 15 de febrero de 2024, para darles a los administradores tiempo suficiente para actualizar las instancias del servidor y evitar la probabilidad de explotación.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario