CVE-2024-50336丨matrix-js-sdk 的 MXC URI 验证不足，导致客户端路径遍历

2024年11月14日 118点热度 0人点赞 0条评论

matrix-js-sdk 的 MXC URI 验证不足，导致客户端路径遍历（CVE-2024-50336）

CVE编号

CVE-2024-50336

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-13

漏洞描述

matrix-js-sdk是一个用于JavaScript的Matrix消息协议客户端服务器SDK。在版本低于34.11.0的matrix-js-sdk中，存在通过精心制作的MXC URI进行客户端路径遍历的漏洞。恶意房间成员可以触发基于matrix-js-sdk的客户端向客户端的homeserver发出任意的经过身份验证的GET请求。已在matrix-js-sdk 34.11.1中进行修复。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/matrix-org/matrix-js-sdk/security/advisories/GHSA-xvg8-m4x3-w6xr
https://spec.matrix.org/v1.12/client-server-api/#security-considerations-5

CVE-2024-50336丨matrix-js-sdk 的 MXC URI 验证不足，导致客户端路径遍历

matrix-js-sdk 的 MXC URI 验证不足，导致客户端路径遍历（CVE-2024-50336）

漏洞描述

解决建议

参考链接

文章评论