通过电子邮件接管外部 OpenID Connect 帐户 Mastodon 更改 (CVE-2024-25618)
CVE编号
CVE-2024-25618利用情况
暂无补丁情况
N/A披露时间
2024-02-15漏洞描述
Mastodon是一个基于ActivityPub的免费、开源的社交网络服务器。Mastodon允许通过配置的身份验证提供者(如CAS、SAML、OIDC)使用新的身份连接到相同电子邮件地址的现有本地用户。这可能导致账户劫持,如果身份验证提供者允许更改电子邮件地址或配置了多个身份验证提供者时。当用户首次通过外部身份验证提供者登录时,Mastodon会检查提供者传递的电子邮件地址以查找现有的账户。然而,仅依靠电子邮件地址意味着,如果身份验证提供者允许更改账户的电子邮件地址,Mastodon账户可能会立即被劫持。所有通过外部身份验证提供者登录的用户都受到影响。严重性为中等,因为它还需要外部身份验证提供者执行不当。然而,一些知名的OIDC提供者(如Microsoft Azure)很容易无意中允许未经验证的电子邮件更改。此外,OpenID Connect还允许动态客户端注册。此问题已在版本4.2.6、4.1.14、4.0.14和3.5.18中解决。建议用户升级。此漏洞没有已知的解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/mastodon/mastodon/commit/b31af34c9716338e4a32a62cc812d1ca59e88d15 | |
| https://github.com/mastodon/mastodon/security/advisories/GHSA-vm39-j3vx-pch3 |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-287 | 认证机制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论