CVE-2021-21273

**Nome do software vulnerável e versões afetadas:

Versões do Synapse anteriores à 1.25.0

Descrição:

O problema diz respeito ao Synapse, um servidor doméstico de referência do Matrix escrito em Python, no qual as solicitações para domínios fornecidos pelo usuário não eram restritas a endereços IP externos ao calcular a validade da chave para eventos de convite de terceiros e ao enviar notificações push. Isso poderia fazer com que o Synapse enviasse solicitações para a infraestrutura interna. O tipo de solicitação não era controlado pelo usuário, embora fosse possível uma modificação limitada do corpo das solicitações.

Recomendações:

Para versões do Synapse anteriores à 1.25.0, atualize para a versão 1.25.0 do Synapse. Após a atualização, remova a configuração obsoleta federation ip range blacklist das configurações para usar as restrições de endereços IP padrão aprimoradas. Considere usar as novas configurações ip range blacklist e ip range whitelist para um controle mais específico, se necessário. Como solução alternativa temporária, considere bloquear solicitações para endereços IP internos no nível do sistema ou da rede.