A rede social descentralizada Mastodon emitiu uma atualização de segurança para corrigir vulnerabilidades críticas em seu sistema. Uma das vulnerabilidades mais graves, CVE-2023-36460, também conhecida como “TootRoot”, permite que hackers explorem o recurso de anexos de mídia, criando ou substituindo arquivos em uma instância.
Essa vulnerabilidade pode facilitar ataques DoS e levar a negação de serviço e execução remota de código arbitrário, representando uma ameaça significativa para os usuários e o ecossistema da Internet.
Em um cenário extremo, um atacante que ganhe controle sobre várias instâncias pode potencialmente instruir os usuários a baixar aplicativos maliciosos ou até mesmo interromper toda a infraestrutura da rede. Embora a vulnerabilidade ainda não tenha sido explorada, o risco potencial é alto.
A falha foi descoberta durante uma iniciativa abrangente de teste de penetração, financiada pela Fundação Mozilla e executada por uma empresa chamada Cure53. A recente atualização de segurança abordou cinco vulnerabilidades, incluindo outro problema grave, CVE-2023-36459, que permitia que os atacantes injetassem HTML arbitrário em cartões de visualização oEmbed, potencialmente levando a ataques de Cross-Site Scripting (XSS) e representando uma ameaça para os usuários que clicaram em links maliciosos.
Além disso, a Mastodon corrigiu outras três vulnerabilidades de alta e média gravidade, incluindo injeção LDAP cega, negação de serviço por meio de respostas HTTP lentas e links de perfil verificados formatados de forma enganosa. Para proteger suas contas, os usuários da Mastodon são aconselhados a garantir que sua instância inscrita instale as atualizações necessárias prontamente.
O lançamento desses patches coincide com o lançamento de um novo serviço da Meta, destinado a atrair usuários do Twitter que estão deixando a plataforma.