Vulnerabilidad en Synapse (CVE-2024-37303)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

03/12/2024

Última modificación:

26/08/2025

Descripción

Synapse es un servidor doméstico Matrix de código abierto. La versión 1.106 de Synapse permite, por diseño, que los participantes remotos no autenticados activen una descarga y un almacenamiento en caché de contenido multimedia remoto desde un servidor doméstico remoto al repositorio de contenido multimedia local. Dicho contenido también se vuelve disponible para su descarga desde el servidor doméstico local de forma no autenticada. La implicación es que los adversarios remotos no autenticados pueden usar esta funcionalidad para introducir contenido problemático en el repositorio de contenido multimedia. La versión 1.106 de Synapse introduce una mitigación parcial en forma de nuevos endpoints que requieren autenticación para las descargas de contenido multimedia. Los endpoints no autenticados se congelarán en una versión futura, lo que cerrará el vector de ataque.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno