Vulnerabilidad en gomatrixserverlib (CVE-2022-36009)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

19/08/2022

Última modificación:

24/08/2022

Descripción

gomatrixserverlib es una biblioteca Go para la federación de protocolos de Matrix. Dendrite es un servidor doméstico de Matrix escrito en Go, una alternativa a Synapse. El análisis de los niveles de potencia dentro de gomatrixserverlib fallaba al analizar la clave ""events_default" del evento "m.room.power_levels", poniendo a cero el nivel de potencia por defecto del evento en todos los casos. Los niveles de potencia son la terminología de la matriz para el nivel de acceso del usuario. En las salas en las que el nivel de potencia ""events_default"" había sido cambiado, esto podía resultar en que los eventos fueran incorrectamente autorizados o rechazados por los servidores Dendrite. gomatrixserverlib contiene una corrección desde el commit "723fd49" y Dendrite versión 0.9.3 ha sido actualizado en consecuencia. Las salas de matrices en las que el nivel de potencia ""events_default"" no ha sido cambiado del valor predeterminado de cero no son vulnerables. Es recomendado a usuarios actualizar. No se presentan mitigaciones conocidas para este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto