Уязвимость в платформе Mastodon, позволяющая выполнить код на серверах соцсети
Автор
Сообщение
news_bot ®
Стаж: 6 лет 11 месяцев
Сообщений: 27286
В Mastodon, платформе для создания децентрализованной социальной сети, объединяющей разрозненные серверы разных участников, выявлена критическая уязвимость (CVE-2023-36460), позволяющая создать или перезаписать произвольный файл в любом каталоге на сервере, насколько позволяют права доступа, под которыми выполняется Mastodon. Проблема может быть использована для организации выполнения своего кода на серверах, например, атакующий может разместить файл в каталоге с web-скриптами, изменить файл ~/.ssh/authorized_keys с ключами SSH или добавить автозапускаемый сценарий, такой как "~/.bashrc" или ~/.profile.
Уязвимости присвоен уровень опасности 9.9 из 10. Уязвимость вызвана ошибкой в коде обработки мультимедийных файлов и может быть эксплуатирована через прикрепление к публикации специально оформленного мультимедийного вложения. Проблема выявлена компанией Cure53, которая проводила аудит кода Mastodon по заказу компании Mozilla, которая выбрала платформу Mastodon для построения собственной социальной сети Mozilla.social.
При аудите также выявлена ещё одна критическая уязвимость (CVE-2023-36459) с уровнем опасности 9.3 из 10. Уязвимость позволяет атакующему передать специально оформленные данные
oEmbed для обхода защиты от XSS-атак и добиться показа своего HTML и выполнения произвольного JavaScript кода в показанном пользователю блоке предпросмотра.
Уязвимости устранены в обновлениях 3.5.10, 4.0.6 и 4.1.4. В настоящее время объединённая социальная сеть Fediverse насчитывает более 12 тысяч узлов на базе платформы Mastodon, на которых зарегистрировано около 9 млн пользователей.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.openwall.com/lists...)
- OpenNews: Выпуск Mastodon 3.5, платформы для создания децентрализованных социальных сетей
- OpenNews: Mozilla начала тестирование собственной социальной сети на базе платформы Mastodon
- OpenNews: Уязвимости в Netfilter и io_uring, позволяющие повысить свои привилегии в системе
- OpenNews: Уязвимости в VLC и GStreamer, способные привести к выполнению кода при обработке контента
- OpenNews: Уязвимость в Ghostscript, приводящая к выполнению кода злоумышленника
Похожие новости:
- Mozilla начала тестирование собственной социальной сети на базе платформы Mastodon
- Выпуск Mastodon 3.5, платформы для создания децентрализованных социальных сетей
- [Open source, Социальные сети и сообщества] «Дивный новый мир»: что такое Fediverse и как стать его частью
- Выпуск Mastodon 3.2, платформы для создания децентрализованных социальных сетей
- Выпуск Mastodon 3.0, платформы для создания децентрализованных социальных сетей
- Mastodon - новая платформа для создания децентрализованных социальных сетей
Теги для поиска: #_mastodon
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Фев 09:02
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 11 месяцев |
|
|
В Mastodon, платформе для создания децентрализованной социальной сети, объединяющей разрозненные серверы разных участников, выявлена критическая уязвимость (CVE-2023-36460), позволяющая создать или перезаписать произвольный файл в любом каталоге на сервере, насколько позволяют права доступа, под которыми выполняется Mastodon. Проблема может быть использована для организации выполнения своего кода на серверах, например, атакующий может разместить файл в каталоге с web-скриптами, изменить файл ~/.ssh/authorized_keys с ключами SSH или добавить автозапускаемый сценарий, такой как "~/.bashrc" или ~/.profile. Уязвимости присвоен уровень опасности 9.9 из 10. Уязвимость вызвана ошибкой в коде обработки мультимедийных файлов и может быть эксплуатирована через прикрепление к публикации специально оформленного мультимедийного вложения. Проблема выявлена компанией Cure53, которая проводила аудит кода Mastodon по заказу компании Mozilla, которая выбрала платформу Mastodon для построения собственной социальной сети Mozilla.social. При аудите также выявлена ещё одна критическая уязвимость (CVE-2023-36459) с уровнем опасности 9.3 из 10. Уязвимость позволяет атакующему передать специально оформленные данные oEmbed для обхода защиты от XSS-атак и добиться показа своего HTML и выполнения произвольного JavaScript кода в показанном пользователю блоке предпросмотра. Уязвимости устранены в обновлениях 3.5.10, 4.0.6 и 4.1.4. В настоящее время объединённая социальная сеть Fediverse насчитывает более 12 тысяч узлов на базе платформы Mastodon, на которых зарегистрировано около 9 млн пользователей. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Фев 09:02
Часовой пояс: UTC + 5