Mastodon - это бесплатный сервер социальных сетей с открытым исходным кодом на базе ActivityPub. Регистрация FASP требует ручного одобрения…
Mastodon - это бесплатный сервер социальных сетей с открытым исходным кодом на базе ActivityPub. Регистрация FASP требует ручного одобрения администратора. В версиях 4.4.4.4-4.4.13 и 4.5.0-4.5.6 без аутентифицированный злоумышленник может зарегистрировать FASP с выбранным злоумышленником `base_url`, который включает или разрешает локальный / внутренний адрес, что приводит к тому, что сервер Mastodon делает запросы на этот адрес. Это касается только серверов Mastodon, которые решили протестировать экспериментальную функцию FASP, установив переменную среды `EXPERIMENTAL_FEATURES` на значение, включая `fasp`. Злоумышленник может заставить сервер Mastodon делать запросы http(s) во внутренние системы. Хотя они не могут контролировать весь запрашиваемый URL (только префикс) и не могут видеть результат этих запросов, в этих системах могут возникнуть уязвимости или другое нежелательное поведение. Исправление включено в выпуски 4.4.14 и 4.5.7. Администраторы, которые активно тестируют экспериментальную функцию «fasp», должны обновить свои системы. Серверы, не использующие экспериментальный флаг функции `fasp` не затронуты.
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| mastodon | Отслеживается | |
| mastodon | * | Отслеживается |