ГлавнаяБаза уязвимостей БДУ → BDU:2024-02848
4средняя

BDU:2024-02848

Уязвимость реализации протоколов CAS, SAML и OpenID Connect веб-приложения для развёртывания распределённых социальных сетей Mastodon, позволяющая нарушителю обойти ограничения безопасности и получить доступ к учетным записям пользователей
Опубликовано: 2024-04-12
Описание

Уязвимость реализации протоколов CAS, SAML и OpenID Connect веб-приложения для развёртывания распределённых социальных сетей Mastodon связана с недостатками процедуры аутентификации в результате изменения адреса электронной почты при входе в систему. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить доступ к учетным записям пользователей

Затрагиваемое ПО и версии
Mastodon (от 4.2.0 до 4.2.6)Mastodon (от 4.1.0 до 4.1.14)Mastodon (от 4.0.0 до 4.0.14)Mastodon (до 3.5.18)
Способ устранения

Использование рекомендаций:
https://github.com/mastodon/mastodon/commit/b31af34c9716338e4a32a62cc812d1ca59e88d15
https://github.com/mastodon/mastodon/releases/tag/v4.2.6
https://github.com/mastodon/mastodon/releases/tag/v4.1.14
https://github.com/mastodon/mastodon/releases/tag/v4.0.14
https://github.com/mastodon/mastodon/releases/tag/v3.5.18

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://github.com/mastodon/mastodon/commit/b31af34c9716338e4a32a62cc812d1ca59e88d15https://github.com/mastodon/mastodon/security/advisories/GHSA-vm39-j3vx-pch3
Проверьте безопасность своего сайта и почты → Полная проверка домена