Synapse 可能会被强制缩略意外的文件格式,从而调用外部、可能不可信的解码器 (CVE-2024-53863)
CVE编号
CVE-2024-53863
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-04
漏洞描述
Synapse是一个开源的Matrix homeserver。在Synapse版本低于1.120.1的情况下,启用dynamic_thumbnails选项或处理特殊请求可能会触发不常见图像格式的解码和缩略图生成,这可能会调用Ghostscript等外部工具进行处理。这显著扩大了历史上易受攻击的区域的攻击面,带来的风险远大于收益,特别是鉴于这些格式在开放网络或Matrix生态系统中很少使用。Synapse 1.120.1通过限制缩略图生成仅限于以下广泛使用的格式:PNG、JPEG、GIF和WebP来解决这个问题。此漏洞已在1.120.1中得到修复。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/element-hq/synapse/security/advisories/GHSA-vp6v-whfm-rv3g
文章评论