Mastodon是一个较为流行的开源去中心化社交平台,自马斯克收购Twitter以来,该平台用户数得到大幅增长(目前约1200万)。
Mastodon创始人兼首席执行官Eugen Rochko在安全公告中表示:“由于所有Mastodon中存在的来源验证不足,攻击者可以冒充并接管任何远程账户。”
该漏洞(CVE-2024-23832)在CVSS v3.1中评分为9.4,影响3.5.17之前的所有Mastodon版本,以及4.0.13之前的4.0.x版本、4.1.13之前的4.1.x版本、4.2.5之前的4.2.x版本。
Mastodon平台的每个服务器都是自治的,由各自的管理员独立托管及操作,这带来了诸如能为不同社区启用特定规则和限制等好处,但也意味着每个服务器都需要由管理员单独更新(Mastodon用户无法采取任何措施来解决安全风险)。
该漏洞已于最新发布的4.2.5版本中修复,Mastodon建议所有Mastodon服务器管理员尽快升级到该最新版本;而对于用户来说,需要注意其所在服务器是否为最新版本,以避免遭受账户劫持。
据了解,该漏洞最初由安全研究人员arcanicanis发现。Mastodon计划在2024年2月15日之后发布关于这个漏洞的更多技术细节,以便给予管理员充足的时间更新他们的服务器。Mastodon公告上写道:“对于这个漏洞,我们认为透露任何细节都很容易导致利用。”
编辑:左右里
资讯来源:github.com/mastodon、bleepingcomputer
转载请注明出处和本文链接
评论