Mastodon نرمافزاری برای ساخت شبکه اجتماعی بر اساس ActivityPub میباشد که این امکان را به کاربر میدهد تا سرور خود را در شبکه میزبانی کند. به تازگی کارشناسان یک آسیبپذیری با شدت بالا(8.5) و شناسه CVE-2024-25623 در این نرمافزار گزارش شده است به این صورت که در نسخههای قبل از 4.2.6 Mastodon بررسی نمیشود که پاسخ سرور از راه دور دارای یک مقدار هدر Content-Type به صورت نوع رسانه Activity Streams میباشد یا خیر. این امر به مهاجم اجازه میدهد تا از راه دور اسناد Activity Streams به سرور آپلود کند و اگر سرور آپلودهای کاربر را پذیرفته باشد Mastodon را برای دریافت آن مجبور میکند. آسیبپذیری به کاربران مذکور اجازه میدهد تا مهاجم یک حساب کاربری را در سرور از راه دور جعل هویت کند که تمامی ویژگیهای زیر را دارد:
به مهاجم اجازه میدهد که یک حساب کاربری جدید بسازد؛ سندهای آپلود شده کاربر را بپذیرد و آنها را در همان دامنه ActivityPub قرار دهد و سندهای کاربر دلخواه را به عنوان پاسخ به درخواستها با یک هدر 'Accept' از نوع رسانه Activity Streams ارائه دهد.
محصولات تحت تأثیر
نسخههای قبل از 4.2.6 نرمافزار Mastodon در برابر نقص امنیتی مذکور، آسیبپذیر هستند.
توصیههای امنیتی
تمام کاربران باید هرچه سریعتر نرمافزار Mastodonخود را به نسخه 4.2.7 یا بالاتر ارتقاء دهند.
منابع خبر:
[1] https://github.com/mastodon/mastodon/security/advisories/GHSA-jhrq-qvrm-qr36
[2] https://github.com/mastodon/mastodon/commit/9fee5e852669e26f970e278021302e1a203fc022
- 18