严重漏洞可能导致 Mastodon 服务器被接管

去中心化社交网络平台 Mastodon 中的一个严重漏洞可能会被利用来接管服务器。

该问题于上周被披露，当时 Mastodon 宣布针对开源软件中的 五个漏洞发布补丁，其中两个漏洞被评为“严重”。

其中最重要的是 CVE-2023-36460（CVSS 评分为 9.9），这是一个可能导致服务器完全受损的任意文件创建问题。

“使用精心制作的媒体文件，攻击者可以导致 Mastodon 的媒体处理代码在任何位置创建任意文件。这使得攻击者可以创建并覆盖 Mastodon 有权访问的任何文件，从而允许拒绝服务和任意远程代码执行。”Mastodon 在一份公告中指出。

据安全研究员 Kevin Beaumont 称，该漏洞允许攻击者发送嘟嘟声（简短的状态消息），以在处理该嘟嘟声的 Mastodon 实例上实现 Webshell。

Beaumont 将这个漏洞称为TootRoot，因为它的利用可以为攻击者提供对 Mastodon 服务器的 root 访问权限。

第二个严重缺陷被追踪为 CVE-2023-36459，被描述为跨站点脚本 (XSS) 问题，允许攻击者通过精心设计的 oEmbed 数据绕过 HTML 清理。

Mastodon 解释说：“这引入了跨站点脚本 (XSS) 有效负载的向量，当点击恶意链接的预览卡时，可以在用户的浏览器中呈现该向量。”

在 Mastodon 上周解决的其余三个漏洞中，两个是导致拒绝服务 (DoS) 和信息泄漏的高严重性漏洞，而第三个是中等严重性漏洞，允许攻击者创建视觉上误导性的网络钓鱼链接。

Mastodon 版本 4.1.3、4.0.5 和 3.5.9 的发布解决了所有五个漏洞。建议所有管理员尽快更新其 Mastodon 实例。

博蒙特警告说：“我做了一些调查，很大一部分实例尚未修补，而这个实例很可能会遭到野外利用。在许多实例中广泛的利用就像发送一个嘟嘟声一样简单。”

该开源软件于 2016 年推出，提供类似 Twitter 的微博功能，支持在独立运行的节点（称为 Mastodon 实例）上运行的自托管社交网络服务。

用户可以选择他们想要成为哪个 Mastodon 实例的成员，但由于节点作为联合社交网络运行，因此用户也可以与其他实例的成员进行交互。跟踪数据显示，有超过 12,000 个 Mastodon 实例，托管着大约 800 万用户。

自 2022 年以来，随着埃隆·马斯克 (Elon Musk) 收购 Twitter 引发担忧，该平台获得了巨大的关注。

原文始发于微信公众号（河南等级保护测评）：严重漏洞可能导致 Mastodon 服务器被接管