Borítókép forrás: bleepingcomputer
A Mastodon mintegy 8,8 millió felhasználóval rendelkezik, 13 000 különálló szerveren, amelyeket önkéntesek tartanak fenn, hogy támogassák a különálló, azonban egymással összekapcsolt közösségeket. Az ingyenes és nyílt forráskódú decentralizált közösségi hálózati platform négy sebezhetőséget foltozott be. A hibákat egy online szolgáltatások penetrációs tesztelésével foglalkozó cég, a Cure53 auditorai fedezték fel. Az auditorok a Mastodon kódját Mozilla kérésére vizsgálták meg.
A legsúlyosabb sebezhetőséget CVE-2023-36460 néven követik nyomon, és TootRoot névre keresztelték. A támadók számára különösen egyszerű módot biztosít a célszerverek kompromittálására. A hibát a médiafeldolgozó kódban fedezték fel és DoS-tól kezdve akár tetszőleges kódfuttatásra is kihasználható volt.
A második kritikus súlyosságú hiba a CVE-2023-36459 XSS sebezhetőség a Mastodonban használt oEmbed előnézeti kártyákon, amely lehetővé teszi a HTML szanitizáció megkerülését.
A harmadik nagy súlyosságú sebezhetőség a CVE-2023-36461, amely egy lassú HTTP válaszokon keresztül megvalósuló DoS hiba (darabonkénti, lassú ütemben küldött HTTP kérések). A negyedik nagy súlyosságúnak minősített hiba a CVE-2023-36462, amely adathalászatra használható ki.
A négy sebezhetőség a Mastodon 3.5.0.-tól kezdődő összes verzióját érinti. A hiba a 3.5.9, 4.0.5 és 4.1.3 verziókban azonban már javításra került.
