Email or username:

Password:

Forgot your password?
OpenNet

Уязвимость в платформе Mastodon, позволяющая выполнить код на серверах соцсети

В Mastodon, платформе для создания децентрализованной социальной сети, объединяющей разрозненные серверы разных участников, выявлена критическая уязвимость (CVE-2023-36460), позволяющая создать или перезаписать произвольный файл в любом каталоге на сервере, насколько позволяют права доступа, под которыми выполняется Mastodon. Проблема может быть использована для организации выполнения своего кода на серверах, например, атакующий может разместить файл в каталоге с web-скриптами, изменить файл ~/.ssh/authorized_keys с ключами SSH или добавить автозапускаемый сценарий, такой как "~/.bashrc" или ~/.profile.

opennet.ru/opennews/art.shtml?

3 comments
shedar

@opennet это пофикшено в 4.1.4?

yesfreenet

@shedar
Конечно, раз патч для патча выпускали
@opennet

флф_вгву :verified_flashing:

@opennet@zhub.link it's not a good fedi software if it doesn't allow remote execution

Go Up