I ricercatori di Cure53 hanno comunicato che, dopo aver analizzato il codice di Mastodon, hanno scovato quattro vulnerabilità con livelli di gravità critico, alto e moderato. Tutte e quattro le falle sono state già risolte con le patch incluse nelle versioni 4.1.3, 4.0.5 e 3.5.9, per cui i proprietari dei server sono invitati ad effettuare l’aggiornamento il prima possibile.
Mastodon: individuate e risolte quattro falle gravi
Da tenere presente che essendo Mastodon un sistema di social networking basato su una federazione di server, ciascuno dei quali con proprietari e regole diverse, eventuali patch di sicurezza rilasciate devono venire applicate dai gestori delle varie istante, nonostante il codice della piattaforma fondata da Eugene Rochko venga pubblicato su GitHub.
Tornando alle falle scovate, la più grave ha ottenuto un punteggio 9.9/10, è stata denominata TootRoot e siglata come CVE-2023-36460. Il problema era sito nel codice che elabora i contenuti multimediali allegati ai toot. Non vengono forniti ulteriori dettagli, ad eccezione del fatto che sfruttando un file multimediale era possibile creare o sovrascrivere qualsiasi file su Mastodon e causare un DoS (Denial of Sevice) o eseguire codice remoto arbitrario.
La seconda vulnerabilità ha invece ottenuto un punteggio pari a 9.3/10 ed è siglata come CVE-2023-36459. Può venire sfruttata per un attacco XSS (cross-site scripting) sulle card di anteprima oEmbed. In tal caso, un utente che clicca su un link può rischiare il furto dei dati e dell’account.
C'è poi la vulnerabilità CVE-2023-36461 con punteggio 7.5/10 che consente di effettuare un attacco DoS tenendo occupate le risorse del server a lungo, e c'è la falla siglata come CVE-2023-36462 con punteggio pari a 5.4/10 che permette di creare un link fake da adoperare per mettere a segno un attacco di phishing.