Jogosulatlan hozzáférést tesz lehetővé egy Mastodon-t érintő sérülékenység

A Mastodon, a decentralizált közösségi hálózat platformja figyelmeztetést adott ki a szoftvert üzemeltetők részére, melyben arra kérik a Mastodon üzemeltetőket, hogy sürgősen frissítsék szerverszoftverüket egy kritikus biztonsági sebezhetőség (CVE-2024-37903) miatt. A hiba lehetővé teszi a potenciális támadók számára, hogy jogosulatlanul hozzáférjenek a posztokhoz, és esetleg privát tartalmakat tegyenek közzé. A támadók ezt a sebezhetőséget úgy használják ki, hogy bizonyos tevékenységeket úgy alakítanak ki, hogy egy célzott szerveren egy poszt szélesebb közönségét érik el, következésképpen jogosulatlanul hozzáférnek olyan tartalmakhoz, amelyeket eredetileg nem nekik szántak. Ez a probléma 8,2-es CVSS pontszámmal magas kockázati besorolású, és a Mastodon összes verzióját érinti a 2.6.0-tól kezdődően.

A Mastodon fejlesztőcsapata a sérülékenység felfedezését követően frissítéseket adott ki (4.2.10 és 4.1.18), amelyek hatékonyan zárják a biztonsági rést, és más, biztonsággal kapcsolatos problémákat is orvosolnak. A csapat határozottan arra biztat minden üzemeltetőt, hogy a felhasználói tartalom védelmének biztosítása érdekében haladéktalanul frissítsék szervereiket. A frissített verziók egy másik hibát is orvosolnak, amely a nem megfelelő jogosultságok ellenőrzéséhez kapcsolódik több API használata esetében. Végezetül a fejlesztők megemlítenek egy jövőbeli frissítést, amely várhatóan július 15-én, hétfőn jelenik meg a jelenlegi probléma átfogó leírásával.

(forrás)