One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8385445 |
| Date de publication | 2023-09-19 16:15:12 (vue: 2023-09-19 19:07:16) |
| Titre | CVE-2023-42450 |
| Texte | Mastodon est un serveur de réseau social gratuit et open-source basé sur ActivityPub.À partir de la version 4.2.0-beta1 et avant la version 4.2.0-RC2, en créant des entrées spécifiques, les attaquants peuvent injecter des données arbitraires dans les demandes HTTP émises par Mastodon.Cela peut être utilisé pour effectuer des attaques adjoises confuses si la configuration du serveur inclut `ALLERD_PRIVATE_ADDRESSS` pour permettre l'accès aux services d'exploitation locaux.La version 4.2.0-RC2 a un correctif pour le problème.
Mastodon is a free, open-source social network server based on ActivityPub. Starting in version 4.2.0-beta1 and prior to version 4.2.0-rc2, by crafting specific input, attackers can inject arbitrary data into HTTP requests issued by Mastodon. This can be used to perform confused deputy attacks if the server configuration includes `ALLOWED_PRIVATE_ADDRESSES` to allow access to local exploitable services. Version 4.2.0-rc2 has a patch for the issue. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 42450 `allowed access activitypub addresses` allow arbitrary attackers attacks based beta1 can configuration confused crafting cve data deputy exploitable free has http includes inject input issue issued local mastodon network open patch perform prior private rc2 requests server services social source specific starting used version |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.