Mastodon ha annunciato la disponibilità di un aggiornamento che risolve una grave vulnerabilità (punteggio CVSS 9.4). Gli amministratori dei server devono quindi installare la nuova versione al più presto perché il bug potrebbe essere sfruttato per impersonare e prendere il controllo degli account.
Insufficiente validazione dell’origine
La vulnerabilità, indicata con CVE-2024-23832, è dovuta all’insufficiente validazione dell’origine. In pratica, un cybercriminale potrebbe effettuare un attacco di spoofing ed eseguire varie attività per conto dell’ignara vittima. Il problema è stato individuato in tutte le versioni di Mastodon precedenti a 3.5.17, 4.0.13, 4.1.13 e 4.2.5.
Gli amministratori dei server sono stati avvisati mediante un banner con il link alla pagina di GitHub (il codice sorgente d Mastodon è open source). La patch è stata inclusa nelle versioni più recenti che devono essere installate nel minor tempo possibile. Attualmente, come riporta il sito FediDB, la versione 4.2.5 è installata sul 59% dei server.
Gli utenti che usano il social network decentralizzato non possono fare nulla, ma devono solo sperare che l’amministratore del server installi l’aggiornamento. Per ovvi motivi, Mastodon non ha fornito i dettagli della vulnerabilità. Maggiori informazioni verranno pubblicate il 15 febbraio.
In seguito all’acquisizione di Twitter (oggi X) da parte di Elon Musk, Mastodon è diventato molto popolare. In base alle statistiche ufficiali ci sono circa un milione di utenti attivi mensili e 9.727 server attivi. Secondo FediDB, gli utenti attivi mensili sono 933.938 su un totale di oltre 7,2 milioni, mentre i server attivi sono 11.543.