En el resumen de esta semana, analizamos dos vulnerabilidades críticas en Mastodon.
Aviso de seguridad sobre Mastodon
Fondo
Mastodon es una red social descentralizada, gratuita, de código abierto y ampliamente utilizada, con funciones de microblogging. Se considera una alternativa descentralizada y de código abierto a Twitter. Mastodon funciona a través de nodos gestionados de forma independiente y alojados por diferentes entidades en plataformas de alojamiento en la nube, como Linode.
Vulnerabilidades
Mastodon publicó recientemente sus nuevas versiones a principios de esta semana, que corrigen múltiples vulnerabilidades, incluidas dos vulnerabilidades críticas: CVE-2023-36460 y CVE-2023-36459.
CVE-2023-36460: Creación arbitraria de archivos a través de archivos multimedia adjuntos
Esta vulnerabilidad, rastreada como CVE-2023-36460 y descrita en GHSA-9928, permite a un atacante crear y sobrescribir archivos en cualquier ubicación arbitraria a la que tenga acceso la instancia de Mastodon instalada.
Las versiones vulnerables de Mastodon (desde la versión 3.5.0 y anteriores a las versiones 3.5.9, 4.0.5 y 4.1.3) utilizan entradas externas para construir un nombre de ruta sin sanear y neutralizar adecuadamente los elementos especiales dentro del nombre de ruta. Esta entrada externa pretende identificar un archivo o directorio por debajo de un directorio restringido. Sin embargo, no está limitado o saneado para resolver sólo dentro de este directorio especificado, lo que permite el acceso y la escritura fuera del directorio restringido a través de directory traversal. Un exploit de este tipo puede tener consecuencias devastadoras que van desde la Denegación de Servicio hasta la Ejecución Remota de Código en el servidor Mastodon.
La vulnerabilidad tiene un alto impacto y está clasificada como de gravedad crítica, ya que cualquier usuario que pueda publicar en un servidor de Mastodon puede explotar esta vulnerabilidad. Además, Mastodon es una plataforma de medios sociales, y el número de usuarios que pueden hacer publicaciones y ejecutar exploits es muy alto.
CVE-2023-36459: XSS a través de tarjetas de vista previa oEmbed
Esta vulnerabilidad, rastreada como CVE-2023-36459 y descrita bajo GHSA-ccm4, es una vulnerabilidad de Cross-Site Scripting (XSS) que permite a un atacante manipular los datos de Mastodon oEmbed para incluir HTML arbitrario en las tarjetas de vista previa de oEmbed, resultando en varios riesgos asociados con un usuario interactuando con un sitio web con código fuente no confiable.
Las versiones vulnerables de Mastodon (desde la versión 1.3 y anteriores hasta las versiones 3.5.9, 4.0.5 y 4.1.3) permiten a un atacante eludir el proceso de sanitización HTML utilizando datos oEmbed. Estas versiones de Mastodon no neutralizan correctamente la entrada controlada por el usuario en las tarjetas de vista previa de oEmbed antes de que se coloque en la salida como parte de una página web servida a otros usuarios. De este modo, se sirve a los usuarios un HTML controlado por el atacante. Este exploit introduce un vector para cargas útiles XSS que, cuando interactúan con un usuario, pueden ejecutar código malicioso no fiable en el navegador y la máquina del usuario.
La vulnerabilidad tiene un alto impacto y gravedad crítica, ya que cualquier usuario que pueda crear datos oEmbed en un servidor mastodóntico puede explotar esta vulnerabilidad. Además, todos los miembros de un servidor infectado son susceptibles de sufrir un ataque.
Mitigación
- Actualice sus instancias alojadas de Mastodon a las versiones 4.1.3, 4.0.5 o 3.5.9
- Asegúrese de que los servidores Mastodon que visita están actualizados con la última versión
Nota: Mastodon se puede alojar en Linodes a través de la instalación manual y también se ofrece como un Aplicación One Click Marketplace. Sin embargo, estas instancias no son gestionadas ni mantenidas por Linode. Corresponde a los usuarios de Linode comprender los riesgos y mantener actualizado el software instalado. Para obtener más información, consulte nuestra Mastodon Marketplace App Guía de implementación.
Comentarios