Vulnerabilidad crítica en Mastodon despierta acción rápida de administradores

Mastodon ha convocado a los administradores a tomar medidas tras la revelación de una vulnerabilidad crítica que afecta a red social descentralizada preferida por los antiguos amantes de Twitter (ahora “X”).

Con una puntuación de gravedad de 9.4, la explotación de CVE-2024-23832 potencialmente permite a los atacantes tomar el control de las cuentas de Mastodon de forma remota.

Aunque se ha revelado muy poco en cuanto a detalles técnicos, permitiendo a los administradores tiempo para parchear antes de los atacantes elaboren exploits, las vulnerabilidades con puntajes CVSS tan altos tienden a provocar consecuencias graves en el producto afectado y suelen ser relativamente fáciles de explotar.

“Debido a la validación insuficiente del origen en todos los Mastodon, los atacantes pueden suplantar y tomar el control de cualquier cuenta remota”, dijo Eugen Rochko, CEO y desarrollador principal de Mastodon, en un aviso de seguridad.

Rochko afirmó que todos los Mastodon anteriores a la versión 3.5.17 son vulnerables, al igual que las versiones 4.0.x anteriores a la 4.0.13, las versiones 4.1.x anteriores a las 4.1.13 y las versiones 4.2.x anteriores a la 4.2.5.

Las buenas noticias para los usuarios de Mastodon es que más de la mitad de todos los servidores activos ya se han actualizado a la última versión en el espacio de un día, según datos del colector de estadísticas de la red fediverse, FediDB.

Esta rápida tasa de parcheo probablemente sea el resultado de la buena publicidad que la comunidad de Mastodon dio al asunto. No solo el aviso de Rochko se compartió rápidamente en diferentes instancias, sino que, como muestran capturas de pantalla de paneles de administración, la plataforma misma también mostró advertencias claras, lo que hace bastante difícil escapar de la necesidad urgente de actualizar.

Una exploración rápida del historial de avisos de seguridad de Mastodon muestra que esta no es la única vulnerabilidad de seguridad que la plataforma ha tenido que parchear en el último año, con dos errores críticos, CVE-2023-36460 y CVE-2023-36459, que surgieron en julio de 2023.

Ambos fueron reportados por el equipo de pentesting alemán Cure53 durante una auditoría solicitada por Mozilla. El primero obtuvo una calificación de gravedad cercana al máximo, 9.9, e involucró el abuso del código de procesamiento de medios de Mastodon.

El segundo involucró eludir la sanitización HTML de Mastodon para incluir código malicioso en las tarjetas de vista previa.

“Esto introduce un vector para cargas útiles de Cross-site-scripting (XSS) que pueden renderizarse en el navegador del usuario cuando se hace clic en una tarjeta de vista previa para un enlace malicioso”, dice el aviso.

Con esta acción rápida de los administradores, la comunidad de Mastodon demuestra su compromiso con la seguridad y protección de sus usuarios frente a amenazas potenciales. Es fundamental que los administradores de Mastodon actualicen sus servidores a las versiones parcheadas lo antes posible para evitar cualquier explotación de esta vulnerabilidad crítica.

#Mastodon #CVE #Pentesting #HTML

Related Posts
Clear Filters

En un reciente estudio, Wiz Research ha identificado vulnerabilidades críticas en SAP AI Core, una plataforma de inteligencia artificial gestionada…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.