Уязвимость Mastodon позволяет злоумышленникам угонять аккаунты

На популярной социальной платформе  Mastodon обнаружена критическая уязвимость, которая позволяет злоумышленникам получать в полное распоряжение любые аккаунты пользователей. Проблема с идентификатором CVE-2024-23832  получила оценку 9.4 по CVSS.

Источником уязвимости является недостаточная валидация происхождения, что позволяет злоумышленникам действовать от лица пользователей. К проблеме безопасности уязвимы все версии между 3.5.17 и 4.2.5.

Пока в Mastodon не сообщают все детали из-за угрозы активной эксплуатации уязвимости. Больше информации обещают предоставить 15 февраля. 

Платформа Mastodon в настоящее время насчитывает порядка 12 миллионов пользователей, которые распределены по 11 тысячам серверов Instance.