Mastodon Vulnerability allows to Hijack any decentralized account – CVE-2024-23832

The CVE-2024-23832 vulnerability is a critical security flaw in the Mastodon open-source social network server, based on ActivityPub. The flaw allows the configuration of LDAP for authentication, but due to insufficient validation of the source in all Mastodon versions before 3.5.17, as well as in versions 4.0.x before 4.0.13, versions 4.1.x before 4.1.13, and versions 4.2.x before 4.2.5, attackers can impersonate and take control of any remote account. The CVSS 3.1 base score for this vulnerability is 9.4, indicating a critical impact on data confidentiality, integrity, and availability.

Please note that the provided information is for informational purposes only and should not be used for critical security decisions. If you need more information, we recommend reaching out to the Mastodon support team or consulting with an information security expert.

Every Mastodon version prior to 3.5.17 is vulnerable, as are 4.0.x versions before 4.0.13, 4.1.x versions before 4.1.13, and 4.2.x versions before 4.2.5.

Mitigation & patches – CVE-2024-23832

Patches are available for the CVE-2024-23832 vulnerability. The Mastodon team has released patches for all affected versions. It is highly recommended that users update their systems to the latest version of Mastodon as soon as possible. You can find more information about the patches on the Mastodon website.

How upgrade the Mastodon system

Para actualizar su sistema Mastodon, siga los siguientes pasos:

1. Inicie sesión en su servidor Mastodon y cambie al usuario Mastodon.
2. Navegue hasta el directorio raíz de Mastodon.
3. Descargue el código de la versión más reciente de Mastodon utilizando el comando:
    git fetch --tags.
4. Cambie a la versión descargada utilizando el comando:
    git checkout <version>, donde <version> es la versión que desea instalar.
5. Siga las instrucciones de actualización específicas para la versión que está instalando. Puede encontrar estas instrucciones en la página de lanzamiento de GitHub para esa versión.
6. Después de completar las instrucciones de actualización, reinicie los trabajadores de fondo utilizando el comando:
    systemctl restart mastodon-sidekiq.
7. Finalmente, recargue el proceso web utilizando el comando:
    systemctl reload mastodon-web.

For mor information visit Mastodon official website.

Vulnerabilities section