Vulnerabilidad en Mastodon (CVE-2024-25618)

Mastodon es un servidor de red social gratuito y de código abierto basado en ActivityPub. Mastodon permite que nuevas identidades de proveedores de autenticación configurados (CAS, SAML, OIDC) se adjunten a usuarios locales existentes con la misma dirección de correo electrónico. Esto da como resultado una posible apropiación de la cuenta si el proveedor de autenticación permite cambiar la dirección de correo electrónico o si se configuran varios proveedores de autenticación. Cuando un usuario inicia sesión a través de un proveedor de autenticación externo por primera vez, Mastodon verifica la dirección de correo electrónico transmitida por el proveedor para encontrar una cuenta existente. Sin embargo, usar solo la dirección de correo electrónico significa que si el proveedor de autenticación permite cambiar la dirección de correo electrónico de una cuenta, la cuenta de Mastodon puede ser secuestrada inmediatamente. Todos los usuarios que inician sesión a través de proveedores de autenticación externos se ven afectados. La gravedad es media, ya que también requiere que el proveedor de autenticación externo se comporte mal. Sin embargo, algunos proveedores de OIDC conocidos (como Microsoft Azure) hacen que sea muy fácil permitir accidentalmente cambios de correo electrónico no verificados. Además, OpenID Connect también permite el registro dinámico de clientes. Este problema se solucionó en las versiones 4.2.6, 4.1.14, 4.0.14 y 3.5.18. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.