Podatność w serwerze społecznościowym Mastodon umożliwia atakującemu podszywanie się pod dowolne zdalne konto i przejęcie nad nim kontroli. Problem wynika z niewystarczającej walidacji origin w protokole ActivityPub i dotyczy wszystkich wersji przed wprowadzeniem poprawek.
▸ Pokaż oryginał (EN)
Mastodon is a free, open-source social network server based on ActivityPub Mastodon allows configuration of LDAP for authentication. Due to insufficient origin validation in all Mastodon, attackers can impersonate and take over any remote account. Every Mastodon version prior to 3.5.17 is vulnerable, as well as 4.0.x versions prior to 4.0.13, 4.1.x version prior to 4.1.13, and 4.2.x versions prior to 4.2.5.
Mastodon nie weryfikuje w wystarczający sposób źródła (origin) przychodzących żądań ActivityPub, co jest klasycznym przypadkiem CWE-290 (Authentication Bypass by Spoofing). Atakujący może spreparować złośliwe żądania ActivityPub, które będą udawać aktywność pochodzącą od zdalnych kont na innych instancjach. Brak rygorystycznej kontroli tożsamości nadawcy pozwala na obejście mechanizmów uwierzytelniania bez żadnych dodatkowych uprawnień ani interakcji ze strony ofiary.
Atakujący może podszywać się pod dowolne zdalne konto użytkownika i przejąć nad nim pełną kontrolę, co prowadzi do naruszenia integralności i dostępności kont w sfederowanej sieci Mastodon.
Należy zaktualizować Mastodon do wersji 3.5.17 lub wyższej (dla gałęzi 3.x), 4.0.13 lub wyższej (dla gałęzi 4.0.x), 4.1.13 lub wyższej (dla gałęzi 4.1.x) albo 4.2.5 lub wyższej (dla gałęzi 4.2.x). Patch dostępny w repozytorium GitHub projektu Mastodon (commit 1726085db5cd73dd30953da858f9887bcc90b958).
Wszystkie wersje Mastodon wcześniejsze niż 3.5.17, wersje 4.0.x przed 4.0.13, wersje 4.1.x przed 4.1.13 oraz wersje 4.2.x przed 4.2.5.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:HJoinmastodon Mastodon
APPJoinmastodon< 3.5.174.0.0 – 4.0.13 (bez)4.1.0 – 4.1.13 (bez)4.2.0 – 4.2.5 (bez)
Powiązane podatności
Mastodon is a free, open-source social network server based on ActivityPub. Starting in version 1.3 and prior ...
Mastodon is a free, open-source social network server based on ActivityPub. Starting in version 3.5.0 and prio...
Improper Restriction of Excessive Authentication Attempts in GitHub repository mastodon/mastodon prior to 4.0....
Mastodon before 3.3.2 and 3.4.x before 3.4.6 has incorrect access control because it does not compact incoming...
Mastodon before 2.6.3 mishandles timeouts of incompletely established sessions.