CRITICAL🇬🇧 English

CVE-2024-23832

Mastodon: Podszywanie się pod zdalne konta poprzez brak walidacji origin

CVSS 9.4v3.1pub. 2024-02-01upd. 2024-11-21

Podatność w serwerze społecznościowym Mastodon umożliwia atakującemu podszywanie się pod dowolne zdalne konto i przejęcie nad nim kontroli. Problem wynika z niewystarczającej walidacji origin w protokole ActivityPub i dotyczy wszystkich wersji przed wprowadzeniem poprawek.

Pokaż oryginał (EN)

Mastodon is a free, open-source social network server based on ActivityPub Mastodon allows configuration of LDAP for authentication. Due to insufficient origin validation in all Mastodon, attackers can impersonate and take over any remote account. Every Mastodon version prior to 3.5.17 is vulnerable, as well as 4.0.x versions prior to 4.0.13, 4.1.x version prior to 4.1.13, and 4.2.x versions prior to 4.2.5.

🤖 Analiza AI
Jak działa

Mastodon nie weryfikuje w wystarczający sposób źródła (origin) przychodzących żądań ActivityPub, co jest klasycznym przypadkiem CWE-290 (Authentication Bypass by Spoofing). Atakujący może spreparować złośliwe żądania ActivityPub, które będą udawać aktywność pochodzącą od zdalnych kont na innych instancjach. Brak rygorystycznej kontroli tożsamości nadawcy pozwala na obejście mechanizmów uwierzytelniania bez żadnych dodatkowych uprawnień ani interakcji ze strony ofiary.

Skutki

Atakujący może podszywać się pod dowolne zdalne konto użytkownika i przejąć nad nim pełną kontrolę, co prowadzi do naruszenia integralności i dostępności kont w sfederowanej sieci Mastodon.

Mitygacja

Należy zaktualizować Mastodon do wersji 3.5.17 lub wyższej (dla gałęzi 3.x), 4.0.13 lub wyższej (dla gałęzi 4.0.x), 4.1.13 lub wyższej (dla gałęzi 4.1.x) albo 4.2.5 lub wyższej (dla gałęzi 4.2.x). Patch dostępny w repozytorium GitHub projektu Mastodon (commit 1726085db5cd73dd30953da858f9887bcc90b958).

Kogo dotyczy

Wszystkie wersje Mastodon wcześniejsze niż 3.5.17, wersje 4.0.x przed 4.0.13, wersje 4.1.x przed 4.1.13 oraz wersje 4.2.x przed 4.2.5.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H
  • Joinmastodon Mastodon

    APP
    Joinmastodon
    < 3.5.174.0.0 – 4.0.13 (bez)4.1.0 – 4.1.13 (bez)4.2.0 – 4.2.5 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-36459CRITICAL9.3ten sam produkt

Mastodon is a free, open-source social network server based on ActivityPub. Starting in version 1.3 and prior ...

CVE-2023-36460CRITICAL9.9ten sam produkt

Mastodon is a free, open-source social network server based on ActivityPub. Starting in version 3.5.0 and prio...

CVE-2022-2166CRITICAL9.8ten sam produkt

Improper Restriction of Excessive Authentication Attempts in GitHub repository mastodon/mastodon prior to 4.0....

CVE-2022-24307CRITICAL9.8ten sam produkt

Mastodon before 3.3.2 and 3.4.x before 3.4.6 has incorrect access control because it does not compact incoming...

CVE-2018-21018CRITICAL9.8ten sam produkt

Mastodon before 2.6.3 mishandles timeouts of incompletely established sessions.