Val Lorentz

**Name of the Vulnerable Software and Affected Versions** matrix-appservice-irc versions prior to 1.0.1 **Description** The issue allows an attacker to craft a command with newlines that would not be properly parsed, enabling them to pass a string of commands as a channel name, which would then be executed by the IRC bridge bot. **Recommendations** For versions prior to 1.0.1, upgrade to version 1.0.1 or above to resolve the issue. As a temporary workaround, consider disabling dynamic channels in the config to disable the most common execution method.

**Name of the Vulnerable Software and Affected Versions** matrix-appservice-irc versions prior to 1.0.1 **Description** The issue allows an attacker to craft an event that leaks part of a targeted message event from another bridged room, requiring knowledge of an event ID to target. **Recommendations** For versions prior to 1.0.1, upgrade to version 1.0.1. As a temporary workaround, consider setting the `matrixHandler.eventCacheSize` config value to `0`, although this may impact performance.

**Nome do software vulnerável e versões afetadas** Versões do matrix-appservice-irc anteriores à 0.35.0 **Descrição** O problema decorre de um bug na biblioteca matrix-org/node-irc subjacente, fazendo com que o matrix-appservice-irc analise incorretamente vários modos em um único comando de modo. Isso pode potencialmente resultar na concessão de permissões ao usuário errado. Os comandos de modo só podem ser executados por usuários privilegiados; portanto, a exploração requer que um operador seja induzido a executar o comando em nome de um invasor. **Recomendações** Para versões anteriores à 0.35.0, atualize para a versão 0.35.0 para resolver o problema. Como solução temporária, evite inserir comandos de modo sugeridos por usuários não confiáveis. Evite usar vários modos em um único comando até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do matrix-appservice-irc anteriores à 0.33.2 **Descrição** A falha permite que um invasor induza um usuário do Matrix a executar comandos IRC, fazendo com que ele responda a uma mensagem criada com intenção maliciosa. Isso se deve a uma vulnerabilidade no componente node-irc do software matrix-appservice-irc. Os usuários devem evitar responder a mensagens de participantes não confiáveis em salas do Matrix conectadas via IRC para minimizar o risco. **Recomendações** Para versões anteriores à 0.33.2, atualize para a versão 0.33.2 para resolver o problema. Como solução temporária, considere evitar responder a mensagens de participantes não confiáveis em salas do Matrix conectadas via IRC até que a atualização seja aplicada.