Vulnerabilidad en matrix-js-sdk (CVE-2024-50336)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
12/11/2024
Última modificación:
13/11/2024
Descripción
matrix-js-sdk es un SDK cliente-servidor del protocolo de mensajería Matrix para JavaScript. matrix-js-sdk anterior a la versión 34.11.0 es vulnerable a client-side path traversal a través de URI MXC manipuladas. Un miembro de sala malintencionado puede hacer que los clientes basados en matrix-js-sdk emitan solicitudes GET autenticadas arbitrarias al servidor principal del cliente. Se solucionó en matrix-js-sdk 34.11.1.
Impacto
Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA