PT-2020-16383 · Matrix+1 · Matrix Synapse+1
Erikjohnston
·
Publicado
2020-12-09
·
Atualizado
2024-06-15
·
CVE-2020-26257
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Matrix Synapse anteriores à 1.23.1
Descrição
Um servidor doméstico malicioso ou mal implementado pode injetar eventos malformados em uma sala, especificando um ID de sala diferente no caminho de pontos de extremidade da API, como
/send join, /send leave, /invite ou /exchange third party invite. Isso pode levar a uma negação de serviço, na qual eventos futuros não serão enviados corretamente para outros servidores por meio da federação. O problema afeta qualquer servidor que aceite solicitações de federação de servidores não confiáveis.Recomendações
Para versões anteriores à 1.23.1, atualize para a versão 1.23.1 para resolver o problema.
Como solução alternativa temporária, os administradores do servidor doméstico podem limitar o acesso à API de federação a servidores confiáveis, por exemplo, por meio de
federation domain whitelist.Correção
DoS
Special Elements Injection
XSS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Matrix Synapse