Vulnerabilidad en Element Server Suite Community Edition (CVE-2026-24044)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/02/2026
Última modificación:
13/02/2026
Descripción
Element Server Suite Community Edition (ESS Community) despliega una pila de Matrix utilizando los gráficos Helm proporcionados y la distribución de Kubernetes. El hook de inicialización de secretos del gráfico Helm de ESS Community (utilizando el contenedor matrix-tools anterior a la versión 0.5.7) está utilizando un método inseguro de generación de claves de servidor de Matrix, permitiendo a los atacantes de red recrear potencialmente el mismo par de claves, lo que les permite suplantar al servidor víctima. El secreto es generado por el hook de inicialización de secretos, en los valores del gráfico Helm de ESS Community, si tanto initSecrets.enabled no está configurado como falso y synapse.signingKey no está definido. Dado que una clave de servidor en Matrix autentica tanto las solicitudes originadas desde como los eventos construidos en un servidor dado, esto impacta potencialmente la confidencialidad, integridad y disponibilidad de las salas que tienen un servidor vulnerable presente como miembro. La confidencialidad de las conversaciones pasadas en salas cifradas de extremo a extremo no se ve afectada. El problema de generación de claves fue solucionado en matrix-tools 0.5.7, lanzado como parte del gráfico Helm de ESS Community 25.12.1.
Impacto
Puntuación base 4.0
9.20
Gravedad 4.0
CRÍTICA