最近,根据黑客新闻的报道,去中心化社交网络平台 Mastodon 发布了一项安全更新,修复了五个安全漏洞。这其中,最严重的缺陷被标记为 CVE202336460,攻击者可能利用此漏洞对平台的媒体附件进行文件的创建和覆盖,从而导致拒绝服务DoS以及任意远程代码执行攻击。
此外,另一个关键漏洞 CVE202336459,可能使攻击者能够对 oEmbed 预览卡片进行任意 HTML 注入,这一操作能够绕过 Mastodon 的 HTML 清理过程,允许跨站脚本XSS有效载荷的执行。Mastodon 还修复了三处高危和中危漏洞,包括通过慢速 HTTP 响应导致的 DoS,涉及登录时盲 LDAP 注入的漏洞,以及一个经过验证的个人资料链接格式问题。
为防止任何潜在的安全问题,用户应确保立即在其所订阅的实例中应用这些必要的更新。以下是已修复漏洞的简要列表:
漏洞编号类型描述CVE202336460关键媒体附件文件创建和覆盖CVE202336459关键任意 HTML 注入,绕过清理过程其他漏洞高/中包括 DoS 攻击、盲 LDAP 注入、链接格式问题Mastodon 用户应保持警惕,确保其账号安全。确保及时更新,将有助于免遭攻击和数据泄露的风险。
