Vulnerabilidad en Mastodon (CVE-2024-25619)

Mastodon es un servidor de red social gratuito y de código abierto basado en ActivityPub. Cuando se destruye una aplicación OAuth, no se informaba al servidor de transmisión que los tokens de acceso también se habían destruido, lo que podría haber planteado riesgos de seguridad para los usuarios al permitir que una aplicación continuara escuchando la transmisión después de que la aplicación hubiera sido destruida. Esencialmente, esto se reduce al hecho de que cuando Doorkeeper configura la relación entre las aplicaciones y los tokens de acceso, utiliza una configuración `dependent: delete_all`, lo que significa que la configuración de devolución de llamada `after_commit` en `AccessTokenExtension` en realidad no se activó, ya que ` delete_all` no activa devoluciones de llamada de ActiveRecord. Para mitigar, necesitamos agregar una devolución de llamada `before_destroy` a `ApplicationExtension` que anuncia a la transmisión que todos los tokens de acceso de la aplicación están siendo "eliminados". El impacto debería ser insignificante dado que la aplicación afectada tenía que ser propiedad del usuario. No obstante, este problema se ha solucionado en las versiones 4.2.6, 4.1.14, 4.0.14 y 3.5.18. Se recomienda a los usuarios que actualicen. No se conocen workaround para esta vulnerabilidad.