matrix synapse 信息暴露

CVE编号

CVE-2021-39163

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-09-01

漏洞描述

Matrix是一个雄心勃勃的新生态系统，用于开放联合即时消息和 VoIP。 Matrix 1.41.0及之前版本存在信息泄露漏洞，未经授权的用户如果知道房间的ID，就可以访问房间的名称、头像、主题和成员数量。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/matrix-org/synapse/security/advisories/GHSA-jj53-8fmw-f2w2

参考链接
https://github.com/matrix-org/synapse/commit/cb35df940a
https://github.com/matrix-org/synapse/releases/tag/v1.41.1
https://github.com/matrix-org/synapse/security/advisories/GHSA-jj53-8fmw-f2w2
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	matrix	synapse	*		Up to (excluding) 1.41.1
	运行在以下环境
	系统	alpine_3.14	synapse	*		Up to (excluding) 1.41.1-r0
	运行在以下环境
	系统	alpine_3.15	synapse	*		Up to (excluding) 1.41.1-r0
	运行在以下环境
	系统	alpine_edge	synapse	*		Up to (excluding) 1.41.1-r0
	运行在以下环境
	系统	fedora_34	synapse	*		Up to (excluding) 1.41.1-1.fc34
	运行在以下环境
	系统	fedora_35	synapse	*		Up to (excluding) 1.41.1-1.fc35
查看完整数据

阿里云评分 2.8

• 攻击路径 远程
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 全局影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID 漏洞类型 CWE-200 信息暴露