MASTODON修复了一个漏洞，该漏洞可能允许接管任何账户

在去中心化社交网络Mastodon中发现的一个安全漏洞（CVE-2024-23832，CVSS分数为9.4）可能被用于模仿和接管任何账户。

该问题是由于Mastodon中所有版本的来源验证不足引起的。

该漏洞影响Mastodon版本3.5.17之前的版本，以及4.0.x版本4.0.13之前的版本，4.1.x版本4.1.13之前的版本，以及4.2.x版本4.2.5之前的版本。

该漏洞由安全研究员arcanicanis发现。

Mastodon计划在2024年2月15日之后发布有关该漏洞的技术细节，以便管理员有足够的时间更新服务器实例。

该项目的维护者担心威胁行为者可能会开始对该问题进行大规模利用。本咨询将在2024年2月15日编辑更多细节，届时管理员将获得一些时间进行更新，因为我们认为任何数量的细节都很容易想出漏洞利用方法。

2023年7月，Mastodon解决了媒体附件功能中的一个关键漏洞（CVE-2023-36460），该漏洞允许攻击者在实例内的任何可访问位置创建和覆盖文件。

此漏洞可能导致拒绝服务（DoS）和任意远程代码执行。

原文始发于微信公众号（黑猫安全）：MASTODON修复了一个漏洞，该漏洞可能允许接管任何账户