PT-2022-20567 · Synapse+1 · Synapse+1
Richvdh
·
Publicado
2022-08-31
·
Atualizado
2023-08-05
·
CVE-2022-31152
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Synapse até a 1.61.0, inclusive
Descrição
O problema decorre da aplicação incorreta das regras de autorização de eventos, conforme especificado na especificação Matrix, podendo causar divergências no estado das salas entre os servidores. Um invasor poderia criar eventos que seriam aceitos pelo Synapse, mas não por um servidor em conformidade com a especificação.
Recomendações
Para versões do Synapse até a 1.61.0, inclusive, atualize para a versão 1.62.0 ou superior.
Como solução alternativa temporária, considere desativar a federação definindo
federation domain whitelist como uma lista vazia ([]).Exploit
Correção
Improper Handling of Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Synapse