Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01777

Опубликовано: 20 апр. 2022
Источник: fstec
CVSS3: 4.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость метода undo_mark_statuses_as_sensitive (app/services/approve_appeal_service.rb) веб-приложения для развёртывания распределённых социальных сетей Mastodon связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Mastodon gGmbH

Наименование ПО

Mastodon

Версия ПО

от 3.5.0 до 3.5.3 (Mastodon)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/mastodon/mastodon/blob/main/CHANGELOG.md#353---2022-05-26
https://github.com/mastodon/mastodon/compare/v3.5.2...v3.5.3
https://github.com/mastodon/mastodon/pull/18525

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 28%
0.00101
Низкий

4.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-48364

CVSS3: 4.3
nvd
почти 3 года назад

The undo_mark_statuses_as_sensitive method in app/services/approve_appeal_service.rb in Mastodon 3.5.x before 3.5.3 does not use the server's representative account, resulting in moderator identity disclosure when a moderator approves the appeal of a user whose status update was marked as sensitive.

debian логотип

CVE-2022-48364

CVSS3: 4.3
debian
почти 3 года назад

The undo_mark_statuses_as_sensitive method in app/services/approve_app ...

github логотип

GHSA-mjfv-7q85-fj8m

CVSS3: 4.3
github
почти 3 года назад

The undo_mark_statuses_as_sensitive method in app/services/approve_appeal_service.rb in Mastodon 3.5.x before 3.5.3 does not use the server's representative account, resulting in moderator identity disclosure when a moderator approves the appeal of a user whose status update was marked as sensitive.

EPSS

Процентиль: 28%
0.00101
Низкий

4.3 Medium

CVSS3

5 Medium

CVSS2