缺乏 Activity Streams 对象的媒体类型验证,允许冒充远程帐户 (CVE-2024-25623)
CVE编号
CVE-2024-25623利用情况
暂无补丁情况
N/A披露时间
2024-02-20漏洞描述
Mastodon是一个基于ActivityPub的免费、开源的社交网络服务器。在版本4.2.7、4.1.15、4.0.15和3.5.19之前,当获取远程状态时,Mastodon未检查远程服务器的响应是否具有Activity Streams媒体类型的`Content-Type`头值,这使得威胁行为者可以上传精心设计的Activity Streams文档到远程服务器,并使Mastodon服务器获取它,如果远程服务器接受任意用户上传。该漏洞允许威胁行为者冒充具备以下所有属性的远程服务器上的账户:允许攻击者注册账户;接受任意用户上传的文档并将它们放置在与ActivityPub参与者相同域中;并在对具有Activity Streams媒体类型的‘Accept’头值的请求中提供用户上传的文档。版本4.2.7、4.1.15、4.0.15和3.5.19包含此问题的修复。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/mastodon/mastodon/commit/9fee5e852669e26f970e278021302e1a203fc022 | |
| https://github.com/mastodon/mastodon/security/advisories/GHSA-jhrq-qvrm-qr36 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 已更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-434 | 危险类型文件的不加限制上传 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论