PT-2024-7453 · Unknown · Matrix-React-Sdk
Dkasak
·
Publicado
2024-06-14
·
Atualizado
2024-10-17
·
CVE-2024-47824
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas:
matrix-react-sdk, versões 3.18.0 a 3.101.9
Descrição:
O problema está relacionado à proteção insuficiente dos dados do serviço, permitindo que um servidor doméstico malicioso possa roubar as chaves de mensagem de uma sala quando um usuário convida outro usuário para essa sala. Isso é possível porque o matrix-react-sdk anterior à versão 3.102.0 compartilhava chaves de mensagens históricas no convite.
Recomendações:
Para as versões 3.18.0 a 3.101.9, atualize para a versão 3.102.0 para evitar o possível roubo de chaves de mensagens por um servidor doméstico malicioso durante convites para salas.
Como solução temporária, considere desativar o compartilhamento de chaves de mensagem durante convites até que uma correção esteja disponível.
Restrinja o acesso à funcionalidade vulnerável para minimizar o risco de exploração.
Evite usar a versão vulnerável do matrix-react-sdk até que o problema seja resolvido.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Matrix-React-Sdk