CVE-2024-25618

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-25618
Mastodon is a free, open-source social network server based on ActivityPub. Mastodon allows new identities from configured authentication providers (CAS, SAML, OIDC) to attach to existing local users with the same e-mail address. This results in a possible account takeover if the authentication provider allows changing the e-mail address or multiple authentication providers are configured. When a user logs in through an external authentication provider for the first time, Mastodon checks the e-mail address passed by the provider to find an existing account. However, using the e-mail address alone means that if the authentication provider allows changing the e-mail address of an account, the Mastodon account can immediately be hijacked. All users logging in through external authentication providers are affected. The severity is medium, as it also requires the external authentication provider to misbehave. However, some well-known OIDC providers (like Microsoft Azure) make it very easy to accidentally allow unverified e-mail changes. Moreover, OpenID Connect also allows dynamic client registration. This issue has been addressed in versions 4.2.6, 4.1.14, 4.0.14, and 3.5.18. Users are advised to upgrade. There are no known workarounds for this vulnerability.

4.2 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 2.5

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/mastodon/mastodon/commit/b31af34c9716338e4a32a62cc812d1ca59e88d15 Patch
https://github.com/mastodon/mastodon/security/advisories/GHSA-vm39-j3vx-pch3 Exploit Vendor Advisory
https://github.com/mastodon/mastodon/commit/b31af34c9716338e4a32a62cc812d1ca59e88d15 Patch
https://github.com/mastodon/mastodon/security/advisories/GHSA-vm39-j3vx-pch3 Exploit Vendor Advisory
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:*
cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:*
cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:*
cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:*
History

18 Dec 2024, 22:27

Type Values Removed Values Added
First Time Joinmastodon
Joinmastodon mastodon
CPE cpe:2.3:a:joinmastodon:mastodon:*:*:*:*:*:*:*:*
CWE CWE-306
References () https://github.com/mastodon/mastodon/commit/b31af34c9716338e4a32a62cc812d1ca59e88d15 - () https://github.com/mastodon/mastodon/commit/b31af34c9716338e4a32a62cc812d1ca59e88d15 - Patch
References () https://github.com/mastodon/mastodon/security/advisories/GHSA-vm39-j3vx-pch3 - () https://github.com/mastodon/mastodon/security/advisories/GHSA-vm39-j3vx-pch3 - Exploit, Vendor Advisory

21 Nov 2024, 09:01

Type Values Removed Values Added
References () https://github.com/mastodon/mastodon/commit/b31af34c9716338e4a32a62cc812d1ca59e88d15 - () https://github.com/mastodon/mastodon/commit/b31af34c9716338e4a32a62cc812d1ca59e88d15 -
References () https://github.com/mastodon/mastodon/security/advisories/GHSA-vm39-j3vx-pch3 - () https://github.com/mastodon/mastodon/security/advisories/GHSA-vm39-j3vx-pch3 -
Summary
  • (es) Mastodon es un servidor de red social gratuito y de código abierto basado en ActivityPub. Mastodon permite que nuevas identidades de proveedores de autenticación configurados (CAS, SAML, OIDC) se adjunten a usuarios locales existentes con la misma dirección de correo electrónico. Esto da como resultado una posible apropiación de la cuenta si el proveedor de autenticación permite cambiar la dirección de correo electrónico o si se configuran varios proveedores de autenticación. Cuando un usuario inicia sesión a través de un proveedor de autenticación externo por primera vez, Mastodon verifica la dirección de correo electrónico transmitida por el proveedor para encontrar una cuenta existente. Sin embargo, usar solo la dirección de correo electrónico significa que si el proveedor de autenticación permite cambiar la dirección de correo electrónico de una cuenta, la cuenta de Mastodon puede ser secuestrada inmediatamente. Todos los usuarios que inician sesión a través de proveedores de autenticación externos se ven afectados. La gravedad es media, ya que también requiere que el proveedor de autenticación externo se comporte mal. Sin embargo, algunos proveedores de OIDC conocidos (como Microsoft Azure) hacen que sea muy fácil permitir accidentalmente cambios de correo electrónico no verificados. Además, OpenID Connect también permite el registro dinámico de clientes. Este problema se solucionó en las versiones 4.2.6, 4.1.14, 4.0.14 y 3.5.18. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

14 Feb 2024, 21:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-02-14 21:15

Updated : 2024-12-18 22:27

NVD link : CVE-2024-25618

Mitre link : CVE-2024-25618

CVE.ORG link : CVE-2024-25618

JSON object : View

Products Affected

joinmastodon

  • mastodon
CWE
CWE-287

Improper Authentication

CWE-306

Missing Authentication for Critical Function