Mastodon is a free, open-source social network server based on ActivityPub. By nature, Mastodon performs a lot of outbound requests to user-provided domains. Mastodon, however, has some protection mechanism to disallow requests to local IP addresses (unless specified in `ALLOWED_PRIVATE_ADDRESSES`) to avoid the "confused deputy" problem. The list of disallowed IP address ranges was lacking some IP address ranges that can be used to reach local IP addresses. An attacker can use an IP address in the affected ranges to make Mastodon perform HTTP requests against loopback or local network hosts, potentially allowing access to otherwise private resources and services. This is fixed in Mastodon v4.5.4, v4.4.11, v4.3.17 and v4.2.29.
Mastodon social network server contains a Server-Side Request Forgery (SSRF) vulnerability due to incomplete IP address range filtering. Attackers can exploit this to make the server perform HTTP requests to loopback or local network hosts, potentially accessing private resources and services that should be protected.
تؤثر هذه الثغرة على خوادم ماستودون التي تقوم بطبيعتها بإجراء العديد من الطلبات الخارجية إلى نطاقات يوفرها المستخدمون. على الرغم من وجود آليات حماية لمنع الطلبات إلى عناوين IP المحلية، إلا أن قائمة نطاقات عناوين IP المحظورة كانت تفتقر إلى بعض النطاقات التي يمكن استخدامها للوصول إلى عناوين IP المحلية. يمكن للمهاجم استخدام عنوان IP في النطاقات المتأثرة لجعل ماستودون يقوم بطلبات HTTP ضد مضيفات الشبكة المحلية أو الحلقة الراجعة. هذا يمثل مشكلة "النائب المرتبك" الأمنية الكلاسيكية التي قد تؤدي إلى الكشف عن معلومات حساسة أو الوصول غير المصرح به إلى الخدمات الداخلية.
يحتوي خادم الشبكة الاجتماعية ماستودون على ثغرة تزوير طلبات من جانب الخادم (SSRF) بسبب عدم اكتمال تصفية نطاقات عناوين IP. يمكن للمهاجمين استغلال هذه الثغرة لجعل الخادم ينفذ طلبات HTTP إلى مضيفات الشبكة المحلية أو الحلقة الراجعة، مما قد يسمح بالوصول إلى الموارد والخدمات الخاصة التي يجب حمايتها.
1. Immediately upgrade Mastodon to patched versions: v4.5.4, v4.4.11, v4.3.17, or v4.2.29 depending on your current version branch.
2. Review and configure ALLOWED_PRIVATE_ADDRESSES environment variable to explicitly define permitted internal IP ranges if legitimate internal access is required.
3. Implement network-level controls including egress filtering, web application firewalls, and monitoring of outbound connections from Mastodon servers to detect anomalous internal network access attempts.
1. الترقية الفورية لماستودون إلى الإصدارات المصححة: v4.5.4 أو v4.4.11 أو v4.3.17 أو v4.2.29 حسب فرع الإصدار الحالي.
2. مراجعة وتكوين متغير البيئة ALLOWED_PRIVATE_ADDRESSES لتحديد نطاقات IP الداخلية المسموح بها بشكل صريح إذا كان الوصول الداخلي المشروع مطلوباً.
3. تنفيذ ضوابط على مستوى الشبكة بما في ذلك تصفية الاتصالات الصادرة وجدران حماية تطبيقات الويب ومراقبة الاتصالات الصادرة من خوادم ماستودون لاكتشاف محاولات الوصول غير الطبيعية إلى الشبكة الداخلية.