Mạng xã hội phi tập trung Mastodon đã tiết lộ một lỗ hổng bảo mật nghiêm trọng cho phép các tác nhân độc hại mạo danh và chiếm đoạt bất kỳ tài khoản nào.
"Do không đủ xác thực nguồn gốc trong tất cả Mastodon, những kẻ tấn công có thể mạo danh và chiếm đoạt bất kỳ tài khoản từ xa nào", những người bảo trì cho biết trong một lời khuyên ngắn gọn.
Lỗ hổng, được theo dõi là CVE-2024-23832, có xếp hạng mức độ nghiêm trọng là 9,4 trên tối đa là 10. Nhà nghiên cứu bảo mật arcanicanis đã được ghi nhận với việc phát hiện và báo cáo nó.
Nó đã được mô tả là "lỗi xác thực nguồn gốc" (CWE-346), thường có thể cho phép kẻ tấn công "truy cập bất kỳ chức năng nào vô tình có thể truy cập được vào nguồn".
Mọi phiên bản Mastodon trước 3.5.17 đều dễ bị tấn công, cũng như các phiên bản 4.0.x trước 4.0.13, phiên bản 4.1.x trước 4.1.13 và phiên bản 4.2.x trước 4.2.5.
Mastodon cho biết họ sẽ giữ lại các chi tiết kỹ thuật bổ sung về lỗ hổng cho đến ngày 15 tháng 2 năm 2024, để quản trị viên có nhiều thời gian cập nhật các phiên bản máy chủ và ngăn chặn khả năng khai thác.
"Bất kỳ số lượng chi tiết nào cũng sẽ làm cho nó rất dễ dàng để đưa ra một khai thác," nó nói.
Bản chất liên kết của nền tảng có nghĩa là nó chạy trên các máy chủ riêng biệt (hay còn gọi là phiên bản), được lưu trữ và vận hành độc lập bởi các quản trị viên tương ứng, những người tạo ra các quy tắc và quy định riêng của họ được thực thi cục bộ.
Điều này cũng có nghĩa là không chỉ mỗi phiên bản có một quy tắc ứng xử, điều khoản dịch vụ, chính sách quyền riêng tư và nguyên tắc kiểm duyệt nội dung duy nhất mà còn yêu cầu mỗi quản trị viên áp dụng các bản cập nhật bảo mật kịp thời để bảo mật các phiên bản trước các rủi ro tiềm ẩn.
Việc tiết lộ được đưa ra gần bảy tháng sau khi Mastodon giải quyết hai lỗ hổng nghiêm trọng khác (CVE-2023-36460 và 2023-36459) có thể đã được đối thủ vũ khí hóa để gây ra từ chối dịch vụ (DoS) hoặc thực thi mã từ xa.