CVE-2022-31052

Versões do Synapse anteriores à 1.61.1

O problema decorre de uma recursão ilimitada durante a geração de visualizações de URL de determinadas páginas da web, o que pode esgotar o espaço de pilha disponível para o processo do Synapse. Isso pode causar erros ou travamentos. A vulnerabilidade pode ser explorada de forma maliciosa por usuários no servidor local ou por usuários remotos que enviem URLs específicas. No entanto, usuários remotos não podem explorar isso diretamente devido à autenticação no endpoint de pré-visualização de URL. Implantações com url preview enabled: false não são afetadas, enquanto aquelas com url preview enabled: true são afetadas. Por padrão, url preview enabled está definido como false, portanto, implantações sem essa configuração definida não são afetadas.

Para versões anteriores à 1.61.1, atualize para a v1.61.1 ou superior para resolver o problema.

Como solução alternativa temporária, considere definir url preview enabled como false no arquivo de configuração para impedir a exploração.

Para implantações que utilizam workers, transferir as visualizações de URL para workers dedicados pode ajudar a evitar interrupções em outras funcionalidades do Synapse no caso de uma falha no processo.