Huch, sind Mastodon-Accounts vielleicht ganz leicht übernehmbar? Die Entwickler von Mastodon, dem sozialen Netzwerk, das nach einem ausgestorbenen Elefant benannt ist, gaben in dürren Worten bekannt, was eigentlich gar nicht jemals passieren dürfte: „Angreifer könnten wohl recht einfach jeden beliebigen Account übernehmen“.

Auf GitHub heißt es knapp:

Due to insufficient origin validation in all Mastodon, attackers can impersonate and take over any remote account.

Every Mastodon version prior to 3.5.17 is vulnerable, as well as 4.0.x versions prior to 4.0.13, 4.1.x version prior to 4.1.13, and 4.2.x versions prior to 4.2.5.

Details

TBA. This advisory will be edited with more details on 2024/02/15, when admins have been given some time to update, as we think any amount of detail would make it very easy to come up with an exploit.

Details werden bewusst zurückgehalten, damit Admins die Updates einspielen können. Zur Einstufung, wie gravierend die Lücke ist:

• Attack complexity: Low
• Privileges required: None
• User interaction: None

Die Lücke wurde mit 9,4/10 bewertet. Ich frage mich, was diese 0,6 Restpunkte Sicherheit gerade ausmachen.