Vulnerabilidad en Matrix Media Repo (MMR) (CVE-2024-52602)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
16/01/2025
Última modificación:
16/01/2025
Descripción
Matrix Media Repo (MMR) es un repositorio multimedia para múltiples servidores domésticos altamente configurable para Matrix. Matrix Media Repo (MMR) es vulnerable a server-side request forgery, ya que ofrece contenido desde una red privada a la que puede acceder, bajo ciertas condiciones. Esto se solucionó en MMR v1.3.8. Se recomienda a los usuarios que actualicen. Restringir los hosts a los que MMR puede contactar mediante reglas de firewall (locales) o un proxy transparente puede proporcionar un workaround para los usuarios que no pueden actualizar.
Impacto
Puntuación base 3.x
5.00
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/t2bot/matrix-media-repo/releases/tag/v1.3.8
- https://github.com/t2bot/matrix-media-repo/security/advisories/GHSA-r6jg-jfv6-2fjv
- https://learn.snyk.io/lesson/ssrf-server-side-request-forgery
- https://owasp.org/www-community/attacks/Server_Side_Request_Forgery
- https://www.agwa.name/blog/post/preventing_server_side_request_forgery_in_golang