严重的 TootRoot 漏洞可导致Mastodon 服务器遭劫持

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

免费开源的去中心化社交网络平台 Mastodon 修复了四个漏洞，其中一个严重漏洞可导致黑客在使用特殊构造的媒体文件的服务器上创建任意文件。

Mastodon 拥有约880万名用户，分布在由志愿者托管的1.3万个单独服务器（实例）上，以支持独特且互联的社区。所有这些漏洞都是由渗透测试服务公司 Cure53 的独立审计人员发现的。这些审计人员应 Mozilla 公司的要求对 Mastodon 的代码进行了审计。

其中最严重的漏洞是CVE-2023-36460，被称为 “TootRoot”，可使攻击者攻陷目标服务器。该漏洞位于 Mastodon 的媒体处理代码中，可导致攻击者在 toot （相当于推文）上使用媒体文件触发一系列问题，如拒绝服务、任意远程代码执行等。

尽管 Mastodon 发布的安全通告很简短，但安全研究员 Kevin Beaumont 强调了与 TootRoot 相关联的风险，表示toot可被用于在向 Mastodon 用户交付内容的服务器上植入后门。如此攻陷可导致攻击者无限控制服务器及其所托管和管理的数据，并延伸至用户的敏感信息。

第二个严重漏洞是CVE-2023-36459，它是位于 oEmbed 预览卡中的 XSS 漏洞，可导致攻击者绕过目标浏览器上的 HTML 清理机制。攻击者可借此劫持账户、模拟用户或访问敏感数据。

另外两个漏洞是CVE-2023-36461（通过 HTTP 缓慢响应导致的高危 DoS 漏洞）和CVE-2023-36462（高危，可导致攻击者以欺骗方式构造经验证的资料链接，发动钓鱼攻击）。

这四个漏洞影响 Mastodon 3.5.0及后续所有版本，已在版本3.5.9、4.0.5和4.1.3中修复。

这些补丁是服务器安全更新，需要管理员应用以清除为社区带来的风险。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

Mastodon 用户易受密码窃取攻击
vCenter 服务器漏洞可导致代码执行和认证绕过

十几个NPM恶意包劫持 Discord 服务器

原文链接

https://www.bleepingcomputer.com/news/security/critical-tootroot-bug-lets-attackers-hijack-mastodon-servers/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~