Vulnerabilidad en matrix-react-sdk (CVE-2024-47824)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
15/10/2024
Última modificación:
16/10/2024
Descripción
matrix-react-sdk es un kit de desarrollo de software basado en React para insertar un cliente de chat/VOIP Matrix en una página web. A partir de la versión 3.18.0 y antes de la 3.102.0, matrix-react-sdk permite que un servidor doméstico malintencionado robe potencialmente claves de mensajes para una sala cuando un usuario invita a otro usuario a esa sala, mediante la inyección de un dispositivo malintencionado controlado por el servidor doméstico. Esto es posible porque matrix-react-sdk anterior a la 3.102.0 compartía claves de mensajes históricas en la invitación. La versión 3.102.0 corrige este problema al deshabilitar el uso compartido de claves de mensajes en la invitación eliminando las llamadas a la funcionalidad vulnerable. No hay workarounds disponibles.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Puntuación base 3.x
0.00
Gravedad 3.x
Pendiente de análisis