PT-2022-19424 · Node-Irc+1 · Node-Irc+1
Dkasak
+1
·
Publicado
2022-05-05
·
Atualizado
2022-05-23
·
CVE-2022-29166
CVSS v3.1
8.0
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do matrix-appservice-irc anteriores à 0.33.2
Descrição
A falha permite que um invasor induza um usuário do Matrix a executar comandos IRC, fazendo com que ele responda a uma mensagem criada com intenção maliciosa. Isso se deve a uma vulnerabilidade no componente node-irc do software matrix-appservice-irc. Os usuários devem evitar responder a mensagens de participantes não confiáveis em salas do Matrix conectadas via IRC para minimizar o risco.
Recomendações
Para versões anteriores à 0.33.2, atualize para a versão 0.33.2 para resolver o problema. Como solução temporária, considere evitar responder a mensagens de participantes não confiáveis em salas do Matrix conectadas via IRC até que a atualização seja aplicada.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Matrix-Appservice-Irc
Node-Irc