Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en matrix-js-sdk (CVE-2024-50336)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
12/11/2024
Última modificación:
13/11/2024

Descripción

matrix-js-sdk es un SDK cliente-servidor del protocolo de mensajería Matrix para JavaScript. matrix-js-sdk anterior a la versión 34.11.0 es vulnerable a client-side path traversal a través de URI MXC manipuladas. Un miembro de sala malintencionado puede hacer que los clientes basados en matrix-js-sdk emitan solicitudes GET autenticadas arbitrarias al servidor principal del cliente. Se solucionó en matrix-js-sdk 34.11.1.