В Mastodon, платформе для создания децентрализованной социальной сети, объединяющей разрозненные серверы разных участников, выявлена критическая уязвимость (CVE-2023-36460), позволяющая создать или перезаписать произвольный файл в любом каталоге на сервере, насколько позволяют права доступа, под которыми выполняется Mastodon. Проблема может быть использована для организации выполнения своего кода на серверах, например, атакующий может разместить файл в каталоге с web-скриптами, изменить файл ~/.ssh/authorized_keys с ключами SSH или добавить автозапускаемый сценарий, такой как “~/.bashrc” или ~/.profile.
Уязвимости присвоен уровень опасности 9.9 из 10. Уязвимость вызвана ошибкой в коде обработки мультимедийных файлов и может быть эксплуатирована через прикрепление к публикации специально оформленного мультимедийного вложения. Проблема выявлена компанией Cure53, которая проводила аудит кода Mastodon по заказу компании Mozilla, которая выбрала платформу Mastodon для построения собственной социальной сети Mozilla.social.
При аудите также выявлена ещё одна критическая уязвимость (CVE-2023-36459) с уровнем опасности 9.3 из 10. Уязвимость позволяет атакующему передать специально оформленные данные oEmbed для обхода защиты от XSS-атак и добиться показа своего HTML и выполнения произвольного JavaScript кода в показанном пользователю блоке предпросмотра.
Уязвимости устранены в обновлениях 3.5.10, 4.0.6 и 4.1.4. В настоящее время объединённая социальная сеть Fediverse насчитывает более 12 тысяч узлов на базе платформы Mastodon, на которых зарегистрировано около 9 млн пользователей.