PT-2024-35455 · Synapse · Synapse
Publicado
2024-12-03
·
Atualizado
2025-08-26
·
CVE-2024-52805
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Synapse anteriores à 1.120.1
Descrição
O problema diz respeito ao Synapse, um servidor doméstico Matrix de código aberto, no qual solicitações multipart/form-data podem aumentar temporariamente o consumo de memória além dos níveis esperados em determinadas configurações, potencialmente amplificando ataques de negação de serviço. Isso pode ser explorado para aumentar o consumo de memória durante o processamento da solicitação.
Recomendações
Para versões do Synapse anteriores à 1.120.1, atualize para o Synapse 1.120.1 para resolver o problema, pois ele rejeita solicitações com o tipo de conteúdo multipart/form-data não suportado.
Como solução alternativa temporária, considere limitar os tamanhos das solicitações ou bloquear o tipo de conteúdo
multipart/form-data antes que as solicitações cheguem ao Synapse, por exemplo, em um proxy reverso.Outra abordagem para mitigar o ataque é usar um valor baixo para
max upload size no Synapse.Exploit
Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Synapse