Erikjohnston

**Name of the Vulnerable Software and Affected Versions** Synapse versions prior to 1.95.1 and 1.96.0rc1 **Description** Synapse is an open-source Matrix homeserver. Prior to versions 1.95.1 and 1.96.0rc1, cached device information of remote users can be queried from Synapse. This can be used to enumerate the remote users known to a homeserver. **Recommendations** To resolve the issue, upgrade to Synapse 1.95.1 or 1.96.0rc1 to receive a patch. As a temporary workaround, the `federation domain whitelist` can be used to limit federation traffic with a homeserver.

**Nome do software vulnerável e versões afetadas** Versões do Matrix Synapse anteriores à 1.23.1 **Descrição** Um servidor doméstico malicioso ou mal implementado pode injetar eventos malformados em uma sala, especificando um ID de sala diferente no caminho de pontos de extremidade da API, como `/send join`, `/send leave`, `/invite` ou `/exchange third party invite`. Isso pode levar a uma negação de serviço, na qual eventos futuros não serão enviados corretamente para outros servidores por meio da federação. O problema afeta qualquer servidor que aceite solicitações de federação de servidores não confiáveis. **Recomendações** Para versões anteriores à 1.23.1, atualize para a versão 1.23.1 para resolver o problema. Como solução alternativa temporária, os administradores do servidor doméstico podem limitar o acesso à API de federação a servidores confiáveis, por exemplo, por meio de `federation domain whitelist`.