PT-2024-29884 · Unknown · Matrix-React-Sdk

Publicado

2024-08-06

·

Atualizado

2024-08-18

·

CVE-2024-42347

CVSS v3.1

7.7

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do matrix-react-sdk anteriores à 3.105.0
Descrição
Um servidor doméstico malicioso poderia manipular os dados da conta de um usuário para fazer com que o cliente ativasse a visualização de URLs em salas com criptografia de ponta a ponta; nesse caso, quaisquer URLs contidas em mensagens criptografadas seriam enviadas ao servidor. Implantações que confiam em seus servidores domésticos, bem como federações fechadas de servidores confiáveis, não são afetadas.
Recomendações
Para versões anteriores à 3.105.0, atualize para a versão 3.105.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar as visualizações de URL em salas com criptografia de ponta a ponta até que um patch esteja disponível.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-359

Identificadores relacionados

CVE-2024-42347
GHSA-F83W-WQHC-CFP4
OPENSUSE-SU-2024:14242-1
OPENSUSE-SU-2024:14273-1

Produtos afetados

Matrix-React-Sdk