PT-2024-27461 · Matrix · Synapse
Publicado
2024-12-03
·
Atualizado
2025-08-26
·
CVE-2024-37303
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Synapse anteriores à 1.106
Descrição
O Synapse, um servidor doméstico Matrix de código aberto, permite que participantes remotos não autenticados iniciem o download e o armazenamento em cache de mídia remota de um servidor doméstico remoto para o repositório de mídia local. Essa funcionalidade permite que adversários remotos não autenticados insiram conteúdo problemático no repositório de mídia, tornando-o disponível para download do servidor doméstico local de forma não autenticada. Uma mitigação parcial foi introduzida na versão 1.106 do Synapse, que inclui novos pontos de extremidade exigindo autenticação para downloads de mídia. Os pontos de extremidade não autenticados serão desativados em uma versão futura, fechando o vetor de ataque.
Recomendações
Para versões do Synapse anteriores à 1.106, atualize para a versão 1.106 ou posterior para implementar a mitigação parcial por meio de novos pontos de extremidade autenticados para downloads de mídia.
Como solução alternativa temporária, considere usar limites de taxa mais restritos com base no endereço IP para limitar o impacto potencial.
Exploit
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Synapse