La red social descentralizada Mastodon ha anunciado recientemente una vulnerabilidad crítica que podría permitir suplantar cuentas y obtener acceso a las mismas. La gravedad de la vulnerabilidad es de 9,4 sobre 10 y ha sido descubierta y reportada por el investigador en seguridad arcanicanis. Conocida como CVE-2024-23832, la vulnerabilidad es un «error de validación de origen» (CWE-346) que permite a los adversarios acceder a cualquier funcionalidad que esté inadvertidamente accesible para la fuente. Las versiones anteriores a Mastodon 3.5.17, 4.0.x anteriores a la 4.0.13, 4.1.x anteriores a la 4.1.13 y 4.2.x anteriores a la 4.2.5 son todas vulnerables.
Mastodon ha dicho que proporcionará más detalles técnicos sobre la falla después del 15 de febrero de 2024 para ayudar a los administradores a actualizar sus servidores y evitar la explotación de la vulnerabilidad. La plataforma, que se ejecuta en servidores separados alojados y operados independientemente por los respectivos administradores, requiere que cada administrador aplique actualizaciones de seguridad a tiempo para proteger sus instancias.
Cabe destacar que Mastodon resolvió dos vulnerabilidades críticas (CVE-2023-36460 y 2023-36459) hace unos siete meses que podrían haber sido utilizadas por adversarios para causar una denegación del servicio o incluso lograr la ejecución remota de código. Si bien la naturaleza federada de la plataforma significa que cada instancia tiene un código de conducta y políticas de privacidad únicas, esta nueva vulnerabilidad debe ser abordada de inmediato para proteger la seguridad de los usuarios.
Vía: The Hacker News
