One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8385447 |
| Date de publication | 2023-09-19 16:15:13 (vue: 2023-09-19 19:07:16) |
| Titre | CVE-2023-42452 |
| Texte | Mastodon est un serveur de réseau social gratuit et open-source basé sur ActivityPub.Dans les versions de la branche 4.x avant les versions 4.0.10, 4.2.8 et 4.2.0-rc2, dans certaines conditions, les attaquants peuvent abuser de la fonction de traduction pour contourner la désinfection HTML côté serveur, permettant à HTML non recommandé de s'exécuterdans le navigateur.L'impact est limité grâce à la politique de sécurité du contenu stricte de Mastodon \\, à bloquer les scripts en ligne, etc. Cependant, un contournement ou une échappatoire CSP pourrait être exploité pour exécuter des XS malveillants.De plus, il nécessite une interaction utilisateur, car cela ne peut se produire qu'en cliquant sur & acirc; & euro; & oelig; tradlate & acirc; & euro; & # 65533;bouton sur un post malveillant.Les versions 4.0.10, 4.2.8 et 4.2.0-RC2 contiennent un correctif pour ce problème.
Mastodon is a free, open-source social network server based on ActivityPub. In versions on the 4.x branch prior to versions 4.0.10, 4.2.8, and 4.2.0-rc2, under certain conditions, attackers can abuse the translation feature to bypass the server-side HTML sanitization, allowing unescaped HTML to execute in the browser. The impact is limited thanks to Mastodon\'s strict Content Security Policy, blocking inline scripts, etc. However a CSP bypass or loophole could be exploited to execute malicious XSS. Furthermore, it requires user interaction, as this can only occur upon clicking the “Translate� button on a malicious post. Versions 4.0.10, 4.2.8, and 4.2.0-rc2 contain a patch for this issue. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 42452 abuse activitypub allowing attackers based blocking branch browser button bypass can certain clicking conditions contain content could csp cve etc execute exploited feature free furthermore however html impact inline interaction issue limited loophole malicious mastodon network occur only open patch policy post prior rc2 requires sanitization scripts security server side social source strict thanks translation under unescaped upon user versions xss “translate� |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.