Davidegirardi

**Nome do Software Vulnerável e Versões Afetadas** Versões do Element Web anteriores à 1.11.112 Versões do Element Desktop anteriores à 1.11.112 **Descrição** O Element Web e o Element Desktop são suscetíveis a um problema de manipulação da lista de salas devido à validação insuficiente dos links predecessores de sala. Um atacante remoto pode tentar substituir temporariamente uma entrada de sala na lista de salas por uma sala controlada pelo atacante, potencialmente enganando os usuários. Recarregar ou atualizar a página restaurará a lista de salas correta. **Recomendações** Atualize o Element Web para a versão 1.11.112. Atualize o Element Desktop para a versão 1.11.112.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Element X Android anteriores à 25.04.2 **Descrição** Um hiperlink manipulado em uma página web ou um aplicativo malicioso instalado localmente pode forçar o Element X a carregar uma página web com permissões similares às do Element Call, concedendo automaticamente acesso temporário ao `microfone` e à `câmera`. **Recomendações** Para versões anteriores à 25.04.2, atualize para a versão 25.04.2 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Synapse anteriores à 1.127.1 **Descrição** A falha permite que um servidor malicioso forje eventos que impedem o Synapse de federar com outros servidores. A vulnerabilidade tem sido explorada na natureza. **Recomendações** Para versões anteriores à 1.127.1, atualize para o Synapse v1.127.1 para corrigir a falha.

**Nome do Software Vulnerável e Versões Afetadas** versões do matrix-js-sdk anteriores à 38.2.0 **Descrição** O Matrix JavaScript SDK possui validação insuficiente dos links predecessores de sala na função `MatrixClient::getJoinedRooms`, potencialmente permitindo que um atacante remoto substitua uma sala tombada por uma sala fornecida pelo atacante. **Recomendações** Atualize para a versão 38.2.0. Evite utilizar a função `MatrixClient::getJoinedRooms` em favor de `getRooms()` e filtre as salas atualizadas separadamente.

**Nome do software vulnerável e versões afetadas** Versões do Element Web e Desktop anteriores à 1.11.85 **Descrição** Um servidor doméstico malicioso pode enviar mensagens inválidas por meio da federação, o que pode impedir que o Element Web e o Desktop exibam mensagens individuais ou toda a sala que as contém. **Recomendações** Para as versões do Element Web e Desktop anteriores à 1.11.85, atualize para a versão 1.11.85 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Element Web e Desktop anteriores à 1.11.85 **Descrição** O problema diz respeito ao tratamento de miniaturas de anexos, adesivos e imagens. Especificamente, as versões do Element Web e Desktop anteriores à 1.11.85 não verificam se essas miniaturas são válidas. Essa falha permite a possibilidade de adicionar miniaturas a eventos que podem acionar o download de um arquivo ao serem clicadas. **Recomendações** Para versões anteriores à 1.11.85, atualize para a versão 1.11.85 ou posterior para resolver o problema. Como solução temporária, considere restringir o tratamento de miniaturas de anexos, adesivos e imagens até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Element Desktop, versões 1.11.70 a 1.11.80 **Descrição** O problema diz respeito a uma vulnerabilidade no Element Desktop, um cliente Matrix para plataformas de desktop, que pode levar à exposição de tokens de acesso a terceiros em condições especialmente criadas para esse fim. Foi identificado pelo menos um vetor de ataque, envolvendo widgets maliciosos, mas podem existir outros vetores. **Recomendações** Para as versões 1.11.70 a 1.11.80 do Element Desktop, atualize para a versão 1.11.81 para corrigir o problema. Como solução temporária, evite conceder permissões a widgets não confiáveis.

**Nome do software vulnerável e versões afetadas** Element Web, versões 1.11.70 a 1.11.80 **Descrição** O problema está relacionado à exposição de tokens de acesso a terceiros em condições especialmente criadas para esse fim. Foi identificado pelo menos um vetor de ataque, envolvendo widgets maliciosos, mas podem existir outros vetores. Recomenda-se que os usuários atualizem para uma versão mais recente para resolver o problema. **Recomendações** Para as versões 1.11.70 a 1.11.80 do Element Web, atualize para a versão 1.11.81 para resolver o problema. Como solução alternativa temporária, evite conceder permissões a widgets não confiáveis.