Email or username:

Password:

Forgot your password?
All posts OpenNet's posts Post Back to profile
OpenNet

Уязвимость в платформе Mastodon, позволяющая выполнить код на серверах соцсети

В Mastodon, платформе для создания децентрализованной социальной сети, объединяющей разрозненные серверы разных участников, выявлена критическая уязвимость (CVE-2023-36460), позволяющая создать или перезаписать произвольный файл в любом каталоге на сервере, насколько позволяют права доступа, под которыми выполняется Mastodon. Проблема может быть использована для организации выполнения своего кода на серверах, например, атакующий может разместить файл в каталоге с web-скриптами, изменить файл ~/.ssh/authorized_keys с ключами SSH или добавить автозапускаемый сценарий, такой как "~/.bashrc" или ~/.profile.

opennet.ru/opennews/art.shtml?

8 Jul 2023 at 18:30 | Open on zhub.link
3 comments
shedar

@opennet это пофикшено в 4.1.4?

8 Jul 2023 at 18:31 | Open on zhub.link
yesfreenet

@shedar
Конечно, раз патч для патча выпускали
@opennet

8 Jul 2023 at 18:39 | Open on mastodon.ml
флф_вгву :verified_flashing:

@opennet@zhub.link it's not a good fedi software if it doesn't allow remote execution

8 Jul 2023 at 18:38 | Open on shitpost.poridge.club
Go Up