No resumo desta semana, discutimos duas vulnerabilidades críticas no Mastodon.
Aviso de segurança do Mastodon
Antecedentes
O Mastodon é uma rede social descentralizada, gratuita, de código aberto e amplamente utilizada, com recursos de microblogging. Ela é vista como uma alternativa descentralizada e de código aberto ao Twitter. O Mastodon é executado por meio de nós gerenciados de forma independente, hospedados por diferentes entidades em plataformas de hospedagem em nuvem, incluindo a Linode.
Vulnerabilidades
O Mastodon lançou recentemente suas novas versões no início desta semana, que corrigem várias vulnerabilidades, incluindo duas vulnerabilidades críticas: CVE-2023-36460 e CVE-2023-36459.
CVE-2023-36460: Criação arbitrária de arquivos por meio de anexos de mídia
Essa vulnerabilidade, registrada como CVE-2023-36460 e descrita em GHSA-9928, permite que um invasor crie e substitua arquivos em qualquer local arbitrário ao qual a instância do Mastodon instalada tenha acesso.
As versões vulneráveis do Mastodon (a partir da versão 3.5.0 e anteriores às versões 3.5.9, 4.0.5 e 4.1.3) usam entradas externas para construir um nome de caminho sem higienizar e neutralizar adequadamente os elementos especiais dentro do nome do caminho. Essa entrada externa tem o objetivo de identificar um arquivo ou diretório abaixo de um diretório restrito. No entanto, ela não é limitada ou higienizada para ser resolvida somente dentro desse diretório especificado, permitindo, assim, o acesso e a gravação fora do diretório restrito por meio da passagem de diretório. Essa exploração pode levar a consequências devastadoras que vão desde a negação de serviço até a execução remota de código no servidor Mastodon.
A vulnerabilidade tem um alto impacto e é classificada como de gravidade crítica, pois qualquer usuário que possa postar em um servidor Mastodon pode explorar essa vulnerabilidade. Além disso, o Mastodon é uma plataforma de mídia social, e o número de usuários que podem fazer publicações e executar explorações é muito alto.
CVE-2023-36459: XSS por meio de cartões de visualização do oEmbed
Essa vulnerabilidade, rastreada como CVE-2023-36459 e descrita em GHSA-ccm4, é uma vulnerabilidade de XSS (Cross-Site Scripting) que permite que um invasor crie dados do Mastodon oEmbed para incluir HTML arbitrário em cartões de visualização do oEmbed, resultando em vários riscos associados à interação de um usuário com um site com código-fonte não confiável.
As versões vulneráveis do Mastodon (da versão 1.3 e anteriores às versões 3.5.9, 4.0.5 e 4.1.3) permitem que um invasor contorne o processo de sanitização de HTML usando dados oEmbed. Essas versões do Mastodon não neutralizam corretamente a entrada controlável pelo usuário nos cartões de visualização do oEmbed antes de ser colocada na saída como parte de uma página da Web servida a outros usuários. Assim, um HTML controlado por um invasor é apresentado aos usuários. Essa exploração introduz um vetor para cargas úteis de XSS que, quando interagidas por um usuário, podem executar códigos maliciosos não confiáveis no navegador e no computador do usuário.
A vulnerabilidade tem um alto impacto e gravidade crítica, pois qualquer usuário que possa criar dados oEmbed em um servidor mastodon pode explorar essa vulnerabilidade. Além disso, todos os membros de um servidor infectado são suscetíveis a um ataque.
Mitigação
- Atualize suas instâncias hospedadas do Mastodon para as versões 4.1.3, 4.0.5 ou 3.5.9
- Certifique-se de que os servidores Mastodon que você visita estejam atualizados com a versão mais recente
Observação: o Mastodon pode ser hospedado em Linodes por meio de instalação manual e também é oferecido como um Aplicativo do One Click Marketplace. No entanto, essas instâncias não são gerenciadas ou mantidas pela Linode. Cabe aos usuários da Linode entender os riscos e manter o software instalado atualizado. Para obter mais informações, consulte nosso Guia de implantação do aplicativo Mastodon Marketplace.
Comentários