Vulnerabilidad en SDK Matrix de Rust (CVE-2025-53549)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

10/07/2025

Última modificación:

15/07/2025

Descripción

SDK Matrix de Rust es una colección de librerías que facilita la creación de clientes Matrix en Rust. Una vulnerabilidad de inyección SQL en el método EventCache::find_event_with_relations de matrix-sdk 0.11 y 0.12 permite a miembros maliciosos de la sala ejecutar comandos SQL arbitrarios en clientes Matrix que transfieren directamente los tipos de relación proporcionados por dichos miembros a este método, al usarse con el backend de almacenamiento predeterminado basado en SQLite. Es improbable que se explote, ya que actualmente ningún cliente conocido utiliza la API de esta manera. Esta vulnerabilidad se corrigió en la versión 0.13.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.20 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0

5.20

Gravedad 4.0

MEDIA

Vulnerabilidad en SDK Matrix de Rust (CVE-2025-53549)

Descripción

Impacto

Referencias a soluciones, herramientas e información