PT-2021-14472 · Synapse+1 · Synapse+1
Richvdh
·
Publicado
2021-02-25
·
Atualizado
2021-11-23
·
CVE-2021-21393
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Synapse anteriores à 1.28.0
Descrição
O problema está relacionado à falta de validação de entrada de alguns parâmetros nos endpoints usados para confirmar identificadores de terceiros, o que poderia causar uso excessivo de espaço em disco e memória, levando ao esgotamento de recursos. Isso afeta o recurso de grupos, também conhecido como comunidades, que não faz parte da especificação Matrix. Os comprimentos máximos escolhidos são arbitrários, e nem todos os clientes podem cumpri-los.
Recomendações
Para versões anteriores à 1.28.0, considere desativar o recurso de grupos definindo
enable group creation como False para mitigar este problema. Observe que o recurso de grupos está desativado por padrão.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade, mas ela é corrigida com a atualização para a versão 1.28.0 ou posterior.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Synapse