CVE-2024-51749丨Element 的缩略图可能被滥用来歪曲附件的内容

2024年11月14日 144点热度 0人点赞 0条评论

Element 的缩略图可能被滥用来歪曲附件的内容（CVE-2024-51749）

CVE编号

CVE-2024-51749

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-13

漏洞描述

Element是一个使用Matrix React SDK构建的Matrix网络客户端。Element Web和Desktop的早期版本（低于1.11.85版）不会对附件、贴纸和图片的缩略图进行一致性检查。可以通过向事件添加缩略图，在点击时触发文件下载。已在element-web 1.11.85中进行修复。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/element-hq/element-web/commit/a00c343435d633e64de2c0548217...
https://github.com/element-hq/element-web/security/advisories/GHSA-5486-384g-mcx2

CVE-2024-51749丨Element 的缩略图可能被滥用来歪曲附件的内容

Element 的缩略图可能被滥用来歪曲附件的内容（CVE-2024-51749）

漏洞描述

解决建议

参考链接

文章评论