CVE-2021-21333

Versões do Synapse anteriores à 1.27.0

Os e-mails de notificação enviados para avisar sobre mensagens perdidas ou sobre o vencimento de uma conta estão sujeitos a injeção de HTML. No caso da notificação de mensagens perdidas, isso poderia permitir que um invasor inserisse conteúdo falsificado no e-mail. O recurso de vencimento de conta não está habilitado por padrão e a injeção de HTML não é controlável por um invasor.

Para versões anteriores à 1.27.0, atualize para a versão 1.27.0 para resolver o problema.

Como solução alternativa temporária, considere substituir os modelos notif.html, notif mail.html e room.html por modelos personalizados que escapem manualmente as variáveis usando o filtro escape do Jinja2 para as notificações de mensagens perdidas.

Para as notificações de expiração de conta, considere desativar o recurso de expiração de conta por meio da configuração account validity.enabled ou substituir o modelo notice expiry.html por um modelo personalizado que escape manualmente as variáveis usando o filtro escape do Jinja2.