Synapse 允许不受支持的内容类型导致内存耗尽(CVE-2024-52805)
CVE编号
CVE-2024-52805
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-04
漏洞描述
Synapse是一个开源的Matrix homeserver。在Synapse 1.120.1之前的版本中,某些配置下的multipart/form-data请求在处理过程中会暂时增加内存消耗,超出预期水平,这可能被用于放大拒绝服务攻击。Synapse 1.120.1通过拒绝不支持的multipart/form-data内容类型的请求来解决这个问题。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/element-hq/synapse/security/advisories/GHSA-rfq8-j7rh-8hf2
https://github.com/twisted/twisted/issues/4688#issuecomment-1167705518
https://github.com/twisted/twisted/issues/4688#issuecomment-2385711609
文章评论