Mastodon, la plate-forme de réseautage social décentralisée gratuite et open-source, a corrigé quatre vulnérabilités, dont l’une critique qui permet aux pirates de créer des fichiers arbitraires sur le serveur à l’aide de fichiers multimédias spécialement conçus.
Mastodon compte environ 8,8 millions d’utilisateurs répartis sur 13 000 serveurs (instances) distincts hébergés par des bénévoles pour prendre en charge des communautés distinctes mais interconnectées (fédérées).
Les quatre problèmes résolus ont été découverts par des auditeurs indépendants de Cure53, une société qui fournit des tests d’intrusion pour les services en ligne. Les auditeurs ont inspecté le code de Mastodon à la demande de Mozilla.
La plus grave des vulnérabilités est identifiée comme CVE-2023-36460 et a été nommée TootRoot. Il offre aux attaquants un moyen particulièrement simple de compromettre les serveurs cibles.
CVE-2023-36460 est un problème dans le code de traitement multimédia de Mastodon qui permet d’utiliser des fichiers multimédias sur des toots (l’équivalent de tweets) pour causer une série de problèmes, du déni de service (DoS) à l’exécution arbitraire de code à distance.
Bien que le bulletin de sécurité de Mastodon soit laconique, le chercheur en sécurité Kevin Beaumont a souligné les risques associés à TootRoot, affirmant qu’un toot peut être utilisé pour planter des portes dérobées sur les serveurs qui fournissent du contenu aux utilisateurs de Mastodon.
Un tel compromis donnerait aux attaquants un contrôle illimité sur le serveur et les données qu’il héberge et gère, et s’étendrait aux informations sensibles des utilisateurs.
La deuxième faille de gravité critique est CVE-2023-36459, un script intersite (XSS) sur les cartes de prévisualisation oEmbed utilisées dans Mastodon qui permet de contourner la désinfection HTML sur le navigateur cible.
Les attaques tirant parti de cette faille pourraient être utilisées pour le piratage de compte, l’usurpation d’identité d’utilisateur ou l’accès à des données sensibles.
Les deux autres vulnérabilités traitées par Mastodon sont CVE-2023-36461, une faille DoS de haute gravité via des réponses HTTP lentes, et CVE-2023-36462, également classée avec une haute gravité qui permet à un attaquant de formater un lien de profil vérifié dans un trompeur. manière qui peut être utilisée pour le phishing.
Les quatre vulnérabilités affectent toutes les versions de Mastodon à partir de la 3.5.0 et ont été corrigées dans les versions 3.5.9, 4.0.5 et 4.1.3.
Les correctifs sont des mises à jour de sécurité du serveur et doivent être appliqués par les administrateurs pour supprimer le risque pour leurs communautés.