Synapse 允许格式错误的邀请破坏受邀者的“/sync”(CVE-2024-52815)
CVE编号
CVE-2024-52815
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-04
漏洞描述
Synapse是一个开源的Matrix家园服务器。在版本低于1.120.1的Synapse中,接收联邦邀请的验证存在缺陷。这一漏洞允许恶意服务器发送精心设计的邀请,破坏受邀用户的同步功能。Synapse 1.120.1版本会拒绝接收联邦的无效邀请,并恢复受影响用户的同步功能。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/element-hq/synapse/security/advisories/GHSA-f3r3-h2mq-hx2h
文章评论