I ricercatori di Cure53 hanno analizzato il codice di Mastodon, scoprendo quattro vulnerabilità con livelli di gravità critico, alto e moderato. Una di esse poteva essere sfruttata per creare file arbitrari. Tutte sono state prontamente risolte con le patch incluse nelle versioni 4.1.3, 4.0.5 e 3.5.9, quindi i proprietari dei server devono effettuare l’aggiornamento nel minor tempo possibile.
Come è noto, Mastodon è un social network formato da una federazione di server, ognuno dei quali ha proprietario e regole differenti. La software house fondata da Eugene Rochko pubblica il codice sorgente aggiornato su GitHub, ma le eventuali patch di sicurezza devono essere applicate dai gestori delle singole istanze.
Con le versioni più recenti del codice sono state risolte quattro vulnerabilità. La più grave (punteggio 9.9/10) è stata denominata TootRoot e identificata con CVE-2023-36460. Il problema era presente nel codice che elabora i contenuti multimediali allegati ai toot (equivalenti ai tweet).
Il bollettino di sicurezza non fornisce molti dettagli. Viene specificato che, sfruttando un file multimediale, era possibile creare o sovrascrivere qualsiasi file su Mastodon e causare un DoS (Denial of Sevice) o eseguire codice remoto arbitrario. Il ricercatore di sicurezza Kevin Beaumont afferma che la vulnerabilità permette di installare una backdoor, quindi il server viene controllato dal cybercriminale.
La seconda vulnerabilità in ordine di gravità (9.3/10), identificata con CVE-2023-36459, può essere sfruttata per un attacco XSS (cross-site scripting) sulle card di anteprima oEmbed. Se l’utente clicca su un link rischia il furto dei dati e dell’account.
La vulnerabilità CVE-2023-36461 (gravità 7.5/10) consente di effettuare un attacco DoS, mantenendo occupate le risorse del server per lungo tempo. Infine, la vulnerabilità CVE-2023-36462 (gravità 5.4/10) permette di creare un link fasullo che può essere utilizzato per un attacco di phishing.