Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en matrix-react-sdk (CVE-2024-47824)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
15/10/2024
Última modificación:
16/10/2024

Descripción

matrix-react-sdk es un kit de desarrollo de software basado en React para insertar un cliente de chat/VOIP Matrix en una página web. A partir de la versión 3.18.0 y antes de la 3.102.0, matrix-react-sdk permite que un servidor doméstico malintencionado robe potencialmente claves de mensajes para una sala cuando un usuario invita a otro usuario a esa sala, mediante la inyección de un dispositivo malintencionado controlado por el servidor doméstico. Esto es posible porque matrix-react-sdk anterior a la 3.102.0 compartía claves de mensajes históricas en la invitación. La versión 3.102.0 corrige este problema al deshabilitar el uso compartido de claves de mensajes en la invitación eliminando las llamadas a la funcionalidad vulnerable. No hay workarounds disponibles.