W platformie Pixelfed (wersje v0.10.4–v0.11.9) mechanizm autoryzacji był nieprawidłowo implementowany, co pozwalało atakującym na dostęp do funkcji administracyjnych i moderatorskich serwera. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia i może wpłynąć na federację serwera z innymi instancjami.
▸ Pokaż oryginał (EN)
Pixelfed is an open source photo sharing platform. When processing requests authorization was improperly and insufficiently checked, allowing attackers to access far more functionality than users intended, including to the administrative and moderator functionality of the Pixelfed server. This vulnerability affects every version of Pixelfed between v0.10.4 and v0.11.9, inclusive. A proof of concept of this vulnerability exists. This vulnerability affects every local user of a Pixelfed server, and can potentially affect the servers' ability to federate. Some user interaction is required to setup the conditions to be able to exercise the vulnerability, but the attacker could conduct this attack time-delayed manner, where user interaction is not actively required. This vulnerability has been addressed in version 0.11.11. Users are advised to upgrade. There are no known workarounds for this vulnerability.
Podczas przetwarzania żądań HTTP serwer Pixelfed nie weryfikował poprawnie uprawnień użytkownika, dopuszczając dostęp do znacznie szerszego zakresu funkcji niż zamierzono. Atakujący mógł w ten sposób uzyskać dostęp do paneli administracyjnych i narzędzi moderatora. Atak wymaga minimalnej interakcji użytkownika do przygotowania warunków, jednak może być przeprowadzony z opóźnieniem — bez aktywnego udziału ofiary w momencie właściwego ataku. Istnieje publicznie znany proof of concept tej podatności.
Atakujący może uzyskać nieautoryzowany dostęp do funkcji administracyjnych i moderatorskich serwera Pixelfed, co zagraża poufności danych wszystkich lokalnych użytkowników oraz może zakłócić zdolność serwera do federacji z innymi instancjami.
Należy niezwłocznie zaktualizować Pixelfed do wersji 0.11.11 lub nowszej. Producent nie wskazuje żadnych znanych obejść (workarounds) — aktualizacja jest jedynym środkiem zaradczym.
Wszystkie wersje Pixelfed od v0.10.4 do v0.11.9 włącznie; dotyczy każdego lokalnego użytkownika serwera Pixelfed działającego na podatnej wersji.
Istnieje publicznie znany proof of concept tej podatności (wskazany wprost w opisie producenta). Podatność może negatywnie wpłynąć na federację serwera Pixelfed w sieci ActivityPub.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:LPixelfed
APPPixelfed0.10.4 – 0.11.11 (bez)