Vulnerabilidad en Matrix Media Repo (MMR) (CVE-2024-36402)

Matrix Media Repo (MMR) es un repositorio multimedia para múltiples servidores domésticos altamente configurable para Matrix. La versión 1.3.5 de MMR permite, por diseño, que los participantes remotos no autenticados activen una descarga y almacenamiento en caché de contenido multimedia remoto desde un servidor doméstico remoto al repositorio multimedia local. Dicho contenido también se vuelve disponible para su descarga desde el servidor doméstico local de manera no autenticada. La implicación es que los adversarios remotos no autenticados pueden usar esta funcionalidad para introducir contenido problemático en el repositorio multimedia. MMR 1.3.5 introduce una mitigación parcial en forma de nuevos endpoints que requieren autenticación para las descargas multimedia. Los endpoints no autenticados se congelarán en una versión futura, lo que cerrará el vector de ataque. Aunque son extremadamente limitados, los operadores de servidores pueden usar límites de velocidad más estrictos basados en la dirección IP como workaround parcial.