Se ha reportado un nuevo aviso de seguridad sobre cuatro vulnerabilidades que afectan a Mastodon, que permitirían a un atacante realizar ataques del tipo cross-site scripting (XSS), ejecución remota de código (RCE), denegación de servicio (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Crítica”, 1 (una) de severidad “Alta” y 1 (una) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2023-36460, de severidad “Crítica”, con una puntuación asignada de 9.9. Esta vulnerabilidad del tipo path traversal se debe a una falla de seguridad en Mastodon. Esto permitiría a un atacante a través de archivos multimedia especialmente diseñados, crear archivos arbitrariamente en cualquier instancia y provocar denegación de servicio (DoS) o ejecución remota de código (RCE).
- CVE-2023-36459, de severidad “Crítica”, con una puntuación asignada de 9.3. Esta vulnerabilidad del tipo cross-site scripting (XSS) se debe a una falla de seguridad en Mastodon. Esto permitiría a un atacante a través de tarjetas de vista previa oEmbed, realizar omisión de autenticación y ataques del tipo cross-site scripting (XSS) en el servidor afectado.
Para acceder al listado completo de vulnerabilidades ingrese aquí.
El producto afectado es:
- Mastodon, versiones 1.3 y posteriores.
- Mastodon, versiones 2.5.0 y posteriores.
- Mastodon, versiones 3.5.0 y posteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias: