CVE-2021-21332
Cross-site scripting (XSS) vulnerability in the password reset endpoint
Em resumo
O recurso de redefinição de senha no Synapse (um servidor de mensagens Matrix) tinha uma falha que permitia que invasores injetassem scripts maliciosos em páginas web. Um invasor poderia enganar usuários para visitar um link fraudulento e potencialmente roubar cookies ou realizar ações não autorizadas.
Detalhe técnico
Vulnerabilidade de Cross-site scripting (XSS) no endpoint de redefinição de senha permitia que invasores não autenticados injetassem código JavaScript arbitrário. A falha poderia ser explorada através de URLs fraudulentas para a página de reset de senha, levando potencialmente a roubo de sessão, captura de credenciais, ataques CSRF e acesso a recursos nos mesmos domínios ou domínios pai.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Synapse is a Matrix reference homeserver written in python (pypi package matrix-synapse). Matrix is an ecosystem for open federated Instant Messaging and VoIP. In Synapse before version 1.27.0, the password reset endpoint served via Synapse was vulnerable to cross-site scripting (XSS) attacks. The impact depends on the configuration of the domain that Synapse is deployed on, but may allow access to cookies and other browser data, CSRF vulnerabilities, and access to other resources served on the same domain or parent domains. This is fixed in version 1.27.0.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N
Produtos afetados
matrix-org · synapseQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/matrix-org/synapse/commit/e54746bdf7d5c831eabe4dcea76a7626f1de73dfhttps://github.com/matrix-org/synapse/pull/9200https://github.com/matrix-org/synapse/releases/tag/v1.27.0https://github.com/matrix-org/synapse/security/advisories/GHSA-246w-56m2-5899https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TNNAJOZNMVMXM6AS7RFFKB4QLUJ4IFEY/