CVE-2022-39236

Matrix Javascript SDK improper beacon events can cause availability issues

CVSS 4.3 MEDIUMEPSS 1.0%CWE-20

Em resumo

O SDK Javascript do Matrix pode ser quebrado por eventos beacon malformados, causando mau funcionamento ou ocultação de dados dos usuários. Isso afeta aplicações usando o SDK entre as versões 17.1.0-rc.1 e 19.6.x, impedindo operação adequada ou exibindo informações corrompidas.

Detalhe técnico

Eventos beacon inadequadamente formados podem fazer o matrix-js-sdk entrar em estado degradado, onde parece operacional mas exclui ou corrompe dados em tempo de execução durante o processamento de sincronização. A vulnerabilidade afeta versões 17.1.0-rc.1 até 19.6.x; a exploração requer a presença de eventos beacon malformados nos dados do servidor matrix. O impacto inclui mau funcionamento do SDK, corrupção de dados e sincronização cliente-servidor interrompida.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Matrix Javascript SDK is the Matrix Client-Server SDK for JavaScript. Starting with version 17.1.0-rc.1, improperly formed beacon events can disrupt or impede the matrix-js-sdk from functioning properly, potentially impacting the consumer's ability to process data safely. Note that the matrix-js-sdk can appear to be operating normally but be excluding or corrupting runtime data presented to the consumer. This is patched in matrix-js-sdk v19.7.0. Redacting applicable events, waiting for the sync processor to store data, and restarting the client are possible workarounds. Alternatively, redacting the applicable events and clearing all storage will fix the further perceived issues. Downgrading to an unaffected version, noting that such a version may be subject to other vulnerabilities, will additionally resolve the issue.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

Produtos afetados

matrix-org · matrix-js-sdk

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/matrix-org/matrix-js-sdk/commit/a587d7c36026fe1fcf93dfff63588abee359be76 https://github.com/matrix-org/matrix-js-sdk/releases/tag/v19.7.0 https://github.com/matrix-org/matrix-js-sdk/security/advisories/GHSA-hvv8-5v86-r45x https://github.com/matrix-org/matrix-spec-proposals/pull/3488 https://security.gentoo.org/glsa/202210-35