Mastodon 修复安全漏洞更新

关键要点

• Mastodon 修复了五个安全漏洞，包括两个关键漏洞。
• CVE-2023-36460 允许对媒体附件进行文件创建和覆盖，可能导致拒绝服务和远程代码执行攻击。
• CVE-2023-36459 使得任意 HTML 注入成为可能，绕过 Mastodon 的 HTML 清理过程。
• 用户被敦促立即应用更新，以保护其订阅的实例。

最近，根据的报道，去中心化社交网络平台 Mastodon 发布了一项安全更新，修复了五个安全漏洞。这其中，最严重的缺陷被标记为 CVE-2023-36460，攻击者可能利用此漏洞对平台的媒体附件进行文件的创建和覆盖，从而导致拒绝服务（DoS）以及任意。

此外，另一个关键漏洞 CVE-2023-36459，可能使攻击者能够对 oEmbed 预览卡片进行任意 HTML 注入，这一操作能够绕过 Mastodon的 HTML 清理过程，允许跨站脚本（XSS）有效载荷的执行。Mastodon 还修复了三处高危和中危漏洞，包括通过慢速 HTTP 响应导致的 DoS，涉及登录时盲 LDAP 注入的漏洞，以及一个经过验证的个人资料链接格式问题。

为防止任何潜在的安全问题，用户应确保立即在其所订阅的实例中应用这些必要的更新。以下是已修复漏洞的简要列表：

Mastodon 用户应保持警惕，确保其账号安全。确保及时更新，将有助于免遭攻击和数据泄露的风险。