PT-2024-23851 · Synapse+2 · Synapse+2
Alexeyshch
·
Publicado
2024-04-23
·
Atualizado
2025-04-22
·
CVE-2024-31208
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Synapse anteriores à 1.105.1
Descrição
Um usuário remoto do Matrix com intenções maliciosas, que compartilhe uma sala com instâncias do Synapse, pode enviar eventos especialmente criados para explorar uma falha no algoritmo de resolução de estado V2. Isso pode causar alto consumo de CPU e acumular dados em excesso no banco de dados dessas instâncias, resultando em uma negação de serviço. Servidores em federações privadas, ou aqueles que não fazem parte de federações, não são afetados.
Recomendações
Para versões anteriores à 1.105.1, os administradores de servidor devem atualizar para a versão 1.105.1 ou posterior.
Como solução temporária, é possível banir os usuários mal-intencionados ou bloquear servidores por meio de ACL das salas e/ou sair da sala e limpá-la usando a API de administrador.
Exploit
Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Synapse
Ubuntu