La red social descentralizada Mastodon ha revelado una vulnerabilidad crítica que permite a actores maliciosos suplantar y tomar el control de cualquier cuenta.

«Debido a una validación de origen insuficiente en todo Mastodon, los atacantes pueden suplantar y tomar el control de cualquier cuenta remota», señalaron los responsables en un escueto aviso.

La vulnerabilidad, identificada como CVE-2024-23832, tiene una calificación de gravedad de 9.4 sobre un máximo de 10. El investigador de seguridad arcanicanis ha sido acreditado por descubrirla y reportarla.

Se ha descrito como un «error de validación de origen» (CWE-346), que normalmente permite a un atacante «acceder a cualquier funcionalidad que esté inadvertidamente accesible desde la fuente».

Cualquier versión de Mastodon anterior a 3.5.17 es vulnerable, al igual que las versiones 4.0.x anteriores a 4.0.13, las versiones 4.1.x anteriores a 4.1.13 y las versiones 4.2.x anteriores a 4.2.5.

Mastodon ha indicado que retendrá detalles técnicos adicionales sobre la falla hasta el 15 de febrero de 2024, para dar a los administradores tiempo suficiente para actualizar las instancias del servidor y prevenir la probabilidad de explotación.

«Cualquier cantidad de detalles facilitaría la creación de un exploit», afirmó la compañía.

La naturaleza federada de la plataforma significa que opera en servidores separados (también conocidos como instancias), alojados y operados de forma independiente por administradores respectivos, quienes establecen sus propias reglas y regulaciones que se aplican localmente.

Esto implica no solo que cada instancia tiene un código de conducta, términos de servicio, política de privacidad y pautas de moderación de contenido únicos, sino que también requiere que cada administrador aplique actualizaciones de seguridad de manera oportuna para proteger las instancias contra posibles riesgos.

La revelación llega casi siete meses después de que Mastodon abordara dos fallas críticas adicionales (CVE-2023-36460 y 2023-36459) que podrían haber sido aprovechadas por adversarios para causar denegación de servicio (DoS) o lograr ejecución remota de código.