← volver
CVE-2021-21332

Cross-site scripting (XSS) vulnerability in the password reset endpoint

CVSS 6.9 MEDIUMEPSS 1.2%CWE-79
En resumen

La función de restablecimiento de contraseña en Synapse (un servidor de mensajería Matrix) tenía una vulnerabilidad que permitía a atacantes inyectar scripts maliciosos en páginas web. Un atacante podría engañar a usuarios para visitar un enlace fraudulento y potencialmente robar cookies o realizar acciones no autorizadas.

Detalle técnico

Vulnerabilidad de Cross-site scripting (XSS) en el endpoint de restablecimiento de contraseña permitía que atacantes no autenticados inyectaran código JavaScript arbitrario. La falla podría ser explotada mediante URLs fraudulentas a la página de reset de contraseña, conduciendo potencialmente a robo de sesión, captura de credenciales, ataques CSRF y acceso a recursos en los mismos dominios o dominios padre según la configuración de despliegue.

Resumen generado y traducido por IA a partir de la descripción oficial.
Synapse is a Matrix reference homeserver written in python (pypi package matrix-synapse). Matrix is an ecosystem for open federated Instant Messaging and VoIP. In Synapse before version 1.27.0, the password reset endpoint served via Synapse was vulnerable to cross-site scripting (XSS) attacks. The impact depends on the configuration of the domain that Synapse is deployed on, but may allow access to cookies and other browser data, CSRF vulnerabilities, and access to other resources served on the same domain or parent domains. This is fixed in version 1.27.0.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N
Productos afectados
matrix-org · synapse

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/matrix-org/synapse/commit/e54746bdf7d5c831eabe4dcea76a7626f1de73dfhttps://github.com/matrix-org/synapse/pull/9200https://github.com/matrix-org/synapse/releases/tag/v1.27.0https://github.com/matrix-org/synapse/security/advisories/GHSA-246w-56m2-5899https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TNNAJOZNMVMXM6AS7RFFKB4QLUJ4IFEY/