PT-2022-23108 · Unknown+1 · Gomatrixserverlib+1
Moderateneilalexander
·
Publicado
2022-08-19
·
Atualizado
2022-08-30
·
CVE-2022-36009
CVSS v3.1
5.0
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Dendrite anteriores à 0.9.3
Versões do gomatrixserverlib anteriores ao commit 723fd49
Descrição
A análise do nível de potência no gomatrixserverlib não conseguia analisar a chave “events default” do evento
m.room.power levels, definindo o nível de potência padrão do evento como zero em todos os casos. Níveis de potência são a terminologia da Matrix para o nível de acesso do usuário. Em salas onde o nível de potência “events default” havia sido alterado, isso poderia resultar em eventos sendo autorizados incorretamente ou rejeitados pelos servidores Dendrite.Recomendações
Para versões do Dendrite anteriores à 0.9.3, atualize para o Dendrite 0.9.3 ou posterior.
Para versões do gomatrixserverlib anteriores ao commit 723fd49, atualize o gomatrixserverlib para uma versão que inclua a correção, no mínimo o commit 723fd49.
Como solução temporária, considere evitar alterações no nível de potência “events default” nas salas do Matrix até que o problema seja resolvido.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dendrite
Gomatrixserverlib