Популярная децентрализованная платформа социальных сетей Mastodon исправила уязвимость CVE-2024-23832, которая давала возможность злоумышленникам выдавать себя за других пользователей и получать контроль над их учетными записями. Эта проблема безопасности затрагивала все версии Mastodon до 3.5.17, 4.0.13, 4.1.13 и 4.2.5. Она была устранена в последней версии 4.2.5, выпущенной на этой неделе. Всем администраторам серверов Mastodon настоятельно рекомендуется как можно скорее перейти на эту версию.Уязвимость получила высокую оценку 9,4 по шкале CVSS v3.1.1 из-за недостаточной проверки подлинности в Mastodon. Платформа, набравшая популярность после приобретения Илоном Маском Twitter, насчитывает около 12 миллионов пользователей в 11 000 автономных, но взаимосвязанных сообществах.В настоящее время технические детали уязвимости не разглашаются, чтобы не допустить ее активного использования. Больше информации по CVE-2024-23832 будет предоставлено 15 февраля. Хотя пользователи не могут самостоятельно устранить эту проблему, они должны убедиться, что администраторы их серверов обновились до безопасной версии к середине февраля. Последствия захвата учетной записи могут быть серьезными.В июле 2023 года в Mastodon была исправлена другая опасная уязвимость - CVE-2023-36460, позволявшая получить полный контроль над серверами.
