← volver
CVE-2023-32323

Synapse Outgoing federation to specific hosts can be disabled by sending malicious invites

CVSS 5 MEDIUMEPSS 1.0%CWE-20
En resumen

Un usuario malintencionado en un servidor Matrix Synapse puede enviar invitaciones manipuladas para desactivar la comunicación entre su servidor y otro servidor. Esto interrumpe la federación, impidiendo el intercambio legítimo de mensajes entre los dos servidores.

Detalle técnico

Un atacante local con permisos para crear eventos de estado puede construir campos `invite_room_state` de tamaño excesivo en invitaciones de sala para desencadenar condiciones de denegación de servicio que desactiven la federación de salida hacia un servidor objetivo. Las precondiciones incluyen federación habilitada y permisos del atacante; la mitigación requiere actualizar a Synapse 1.74+ para aplicar límites de tamaño en cargas útiles de eventos de invitación.

Resumen generado y traducido por IA a partir de la descripción oficial.
Synapse is an open-source Matrix homeserver written and maintained by the Matrix.org Foundation. A malicious user on a Synapse homeserver X with permission to create certain state events can disable outbound federation from X to an arbitrary homeserver Y. Synapse instances with federation disabled are not affected. In versions of Synapse up to and including 1.73, Synapse did not limit the size of `invite_room_state`, meaning that it was possible to create an arbitrarily large invite event. Synapse 1.74 refuses to create oversized `invite_room_state` fields. Server operators should upgrade to Synapse 1.74 or newer urgently.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:L
Productos afectados
matrix-org · synapse

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/matrix-org/synapse/issues/14492https://github.com/matrix-org/synapse/pull/14642https://github.com/matrix-org/synapse/security/advisories/GHSA-f3wc-3vxv-xmvrhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UJIJRP5ZH6B3KGFLHCAKR2IX2Y4Z25QD/