CVE-2024-36402

Nome do Software Vulnerável e Versões Afetadas: Versões do Matrix Media Repo anteriores à 1.3.5

Descrição: A vulnerabilidade permite que participantes remotos não autenticados acionem o download e o cache de mídia remota de um homeserver remoto para o repositório de mídia local. Isso torna o conteúdo disponível para download no homeserver local de forma não autenticada, permitindo que adversários remotos não autenticados introduzam conteúdo problemático no repositório de mídia. Uma mitigação parcial é introduzida na versão 1.3.5 com novos endpoints que exigem autenticação para downloads de mídia. Os endpoints não autenticados serão desativados em uma versão futura, eliminando o vetor de ataque.

Recomendações: Para versões anteriores à 1.3.5, considere atualizar para a versão 1.3.5 ou posterior, que introduz mitigação parcial por meio de novos endpoints autenticados para downloads de mídia. Como solução temporária, os operadores do servidor podem usar limites de taxa mais rigorosos baseados em endereço IP para limitar o impacto potencial. Restrinja o acesso aos endpoints não autenticados até que sejam desativados em uma versão futura. Evite usar os endpoints não autenticados para downloads de mídia até que o problema seja totalmente resolvido.