Synapse 对媒体存储库的未经身份验证的写入允许植入有问题的内容(CVE-2024-37303)
CVE编号
CVE-2024-37303
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-04
漏洞描述
Synapse是一个开源的Matrix homeserver。在版本低于1.106的Synapse中,设计允许未经身份验证的远程参与者触发从远程homeserver下载并缓存远程媒体到本地媒体存储库。这样的内容也以未经身份验证的方式可从本地homeserver下载。这意味着未经身份验证的远程对手可以利用此功能将问题内容植入媒体存储库。Synapse 1.106引入了部分缓解措施,以需要身份验证才能下载媒体的新端点形式呈现。未经身份验证的端点将在将来的版本中冻结,从而关闭攻击途径。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/element-hq/synapse/security/advisories/GHSA-gjgr-7834-rhxr
https://github.com/matrix-org/matrix-spec-proposals/pull/3916
文章评论