Описание
Уязвимость реализации протоколов CAS, SAML и OpenID Connect веб-приложения для развёртывания распределённых социальных сетей Mastodon связана с недостатками процедуры аутентификации в результате изменения адреса электронной почты при входе в систему. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить доступ к учетным записям пользователей
Вендор
Наименование ПО
Версия ПО
Тип ПО
Операционные системы и аппаратные платформы
Уровень опасности уязвимости
Возможные меры по устранению уязвимости
Статус уязвимости
Наличие эксплойта
Информация об устранении
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
4.2 Medium
CVSS3
4 Medium
CVSS2
Связанные уязвимости
Mastodon is a free, open-source social network server based on ActivityPub. Mastodon allows new identities from configured authentication providers (CAS, SAML, OIDC) to attach to existing local users with the same e-mail address. This results in a possible account takeover if the authentication provider allows changing the e-mail address or multiple authentication providers are configured. When a user logs in through an external authentication provider for the first time, Mastodon checks the e-mail address passed by the provider to find an existing account. However, using the e-mail address alone means that if the authentication provider allows changing the e-mail address of an account, the Mastodon account can immediately be hijacked. All users logging in through external authentication providers are affected. The severity is medium, as it also requires the external authentication provider to misbehave. However, some well-known OIDC providers (like Microsoft Azure) make it very easy t
Mastodon is a free, open-source social network server based on Activit ...
EPSS
4.2 Medium
CVSS3
4 Medium
CVSS2