CVE-2026-42553

Nome do Software Vulnerável e Versões Afetadas Cinny versões anteriores a 4.10.3

Descrição Um invasor remoto autenticado que compartilha uma sala com uma vítima e possui permissões para criar emotes de sala pode fazer com que o cliente da vítima envie seu token de acesso Matrix para um servidor controlado pelo invasor. Isso ocorre quando a vítima abre o seletor de emojis ou figurinhas em uma sala que contenha um pacote de emotes malicioso. O problema decorre de um fallback incorreto no componente EmojiBoard que utiliza a variável pack.meta.avatar não confiável sem validá-la como uma URL MXC, permitindo o uso de URLs HTTP(S) arbitrárias. Além disso, o service worker anexa o token de portador de Autorização do usuário a todas as requisições GET externas que contenham os endpoints '/ matrix/client/v1/media/download' ou '/ matrix/client/v1/media/thumbnail' sem verificar se o host da requisição corresponde à origem do homeserver configurado. Uma URL controlada por um invasor contendo esses fragmentos de caminho e CORS (Cross-Origin Resource Sharing, um mecanismo que permite que recursos restritos em uma página da web sejam solicitados de outro domínio) permissivo receberá o cabeçalho de Autorização da vítima.

Recomendações Atualizar para a versão 4.10.3.