CRITICAL🇬🇧 English

CVE-2024-25108

Pixelfed: nieprawidłowa autoryzacja daje dostęp do funkcji administratora

CVSS 9.9v3.1pub. 2024-02-12upd. 2024-11-21

W platformie Pixelfed (wersje v0.10.4–v0.11.9) mechanizm autoryzacji był nieprawidłowo implementowany, co pozwalało atakującym na dostęp do funkcji administracyjnych i moderatorskich serwera. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia i może wpłynąć na federację serwera z innymi instancjami.

Pokaż oryginał (EN)

Pixelfed is an open source photo sharing platform. When processing requests authorization was improperly and insufficiently checked, allowing attackers to access far more functionality than users intended, including to the administrative and moderator functionality of the Pixelfed server. This vulnerability affects every version of Pixelfed between v0.10.4 and v0.11.9, inclusive. A proof of concept of this vulnerability exists. This vulnerability affects every local user of a Pixelfed server, and can potentially affect the servers' ability to federate. Some user interaction is required to setup the conditions to be able to exercise the vulnerability, but the attacker could conduct this attack time-delayed manner, where user interaction is not actively required. This vulnerability has been addressed in version 0.11.11. Users are advised to upgrade. There are no known workarounds for this vulnerability.

🤖 Analiza AI
Jak działa

Podczas przetwarzania żądań HTTP serwer Pixelfed nie weryfikował poprawnie uprawnień użytkownika, dopuszczając dostęp do znacznie szerszego zakresu funkcji niż zamierzono. Atakujący mógł w ten sposób uzyskać dostęp do paneli administracyjnych i narzędzi moderatora. Atak wymaga minimalnej interakcji użytkownika do przygotowania warunków, jednak może być przeprowadzony z opóźnieniem — bez aktywnego udziału ofiary w momencie właściwego ataku. Istnieje publicznie znany proof of concept tej podatności.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do funkcji administracyjnych i moderatorskich serwera Pixelfed, co zagraża poufności danych wszystkich lokalnych użytkowników oraz może zakłócić zdolność serwera do federacji z innymi instancjami.

Mitygacja

Należy niezwłocznie zaktualizować Pixelfed do wersji 0.11.11 lub nowszej. Producent nie wskazuje żadnych znanych obejść (workarounds) — aktualizacja jest jedynym środkiem zaradczym.

Kogo dotyczy

Wszystkie wersje Pixelfed od v0.10.4 do v0.11.9 włącznie; dotyczy każdego lokalnego użytkownika serwera Pixelfed działającego na podatnej wersji.

Uwagi

Istnieje publicznie znany proof of concept tej podatności (wskazany wprost w opisie producenta). Podatność może negatywnie wpłynąć na federację serwera Pixelfed w sieci ActivityPub.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L
  • Pixelfed

    APP
    Pixelfed
    0.10.4 – 0.11.11 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-0914MEDIUM5.3ten sam produkt

Improper Authorization in GitHub repository pixelfed/pixelfed prior to 0.11.4.

CVE-2023-0901MEDIUM5.3ten sam produkt

Exposure of Sensitive Information to an Unauthorized Actor in GitHub repository pixelfed/pixelfed prior to 0.1...