Vulnerabilidad en Matrix Javascript SDK (CVE-2022-39236)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/09/2022
Última modificación:
08/12/2022
Descripción
Matrix Javascript SDK es el SDK cliente-servidor de Matrix para JavaScript. A partir de la versión 17.1.0-rc.1, los eventos de baliza formados inapropiadamente pueden interrumpir o impedir que matrix-js-sdk funcione apropiadamente, afectando potencialmente la capacidad del consumidor para procesar datos de forma segura. Obsérvese que matrix-js-sdk puede parecer que funciona normalmente pero estar excluyendo o corrompiendo los datos en tiempo de ejecución presentados al consumidor. Esto está parcheado en matrix-js-sdk v19.7.0. Redactar los eventos aplicables, esperar a que el procesador de sincronización almacene los datos y reiniciar el cliente son posibles mitigaciones. Alternativamente, redactar los eventos aplicables y borrar todo el almacenamiento corregirá los problemas percibidos. La actualización a una versión no afectada, teniendo en cuenta que dicha versión puede estar sujeta a otras vulnerabilidades, también resolverá el problema
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:matrix:javascript_sdk:*:*:*:*:*:node.js:*:* | 17.1.0 (incluyendo) | 19.7.0 (excluyendo) |
| cpe:2.3:a:matrix:javascript_sdk:17.1.0:rc1:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/matrix-org/matrix-js-sdk/commit/a587d7c36026fe1fcf93dfff63588abee359be76
- https://github.com/matrix-org/matrix-js-sdk/releases/tag/v19.7.0
- https://github.com/matrix-org/matrix-js-sdk/security/advisories/GHSA-hvv8-5v86-r45x
- https://github.com/matrix-org/matrix-spec-proposals/pull/3488
- https://security.gentoo.org/glsa/202210-35