Mastodon, corretti diversi difetti critici che potrebbero esporre a rischi gli utenti e la piattaforma

Mastodon, il popolare social network decentralizzato, ha rilasciato un aggiornamento di sicurezza per correggere diverse vulnerabilità critiche che potrebbero esporre gli utenti a eventuali attacchi.

In particolare la recente versione della patch ha risolto cinque vulnerabilità.

Tre difetti sarebbero stati scoperti come parte di un pentetration testing finanziato da Mozilla e condotta da Cure53:

  • Creazione arbitraria di file tramite allegati multimediali. La vulnerabilità critica, consentirebbe di sfruttare un difetto nella funzionalità degli allegati multimediali, creando file in qualsiasi posizione a cui il software potrebbe accedere. Ciò potrebbe essere utilizzata per attacchi DoS e per l’esecuzione arbitraria di codice remoto.
  • XSS tramite schede di anteprima oEmbed. Questa vulnerabilità critica potrebbe consentire di inserire codice HTML arbitrario nelle schede di anteprima oEmbed, aggirando il processo di sanificazione HTML di Mastodon. Di conseguenza, questo ha introdotto un vettore per i payload XSS (Cross-Site Scripting) che potevano eseguire codice dannoso quando gli utenti facevano clic sulle schede di anteprima associate a collegamenti malevoli.
  • Denial of Service attraverso risposte HTTP lente. Questa vulnerabilità di gravità alta potrebbe consentire di impostare a piacere il timeout sulle operazioni di lettura di Mastodon generando un’interruzione di servizio per un periodo di tempo prolungato.

Gli altri due difetti di gravità moderata ed alta rispettivamente includono un problema di formattazione con i collegamenti ai profili verificati e il Blind LDAP injection in login, ponendo diversi livelli di rischio per gli utenti Mastodon.

Si spera che Mastodon installi tempestivamente gli aggiornamenti necessari sulle varie istanze.

Di seguito le raccomandazioni del nostro CSIRT.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.