PT-2024-35463 · Synapse · Synapse
Publicado
2024-12-03
·
Atualizado
2025-08-26
·
CVE-2024-52815
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Synapse anteriores à 1.120.1
Descrição
O Synapse é um servidor doméstico Matrix de código aberto. O problema decorre da falha na validação adequada de convites recebidos por meio da federação, permitindo que um servidor malicioso envie um convite especialmente criado para interromper a funcionalidade /sync do usuário convidado. Isso pode ser explorado pelo envio de convites criados para esse fim, que o Synapse 1.120.1 e versões posteriores rejeitam, restaurando assim a capacidade de sincronização para os usuários afetados.
Recomendações
Para versões anteriores à 1.120.1, atualize para o Synapse 1.120.1 ou posterior para proteger a segurança do servidor e restaurar a capacidade de sincronização dos usuários afetados.
Como solução temporária, considere desativar a federação de servidores não confiáveis até que a atualização possa ser aplicada.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Synapse