CVE-2021-21333
HTML injection in email and account expiry notifications
Em resumo
O Synapse envia emails de notificação que não escapam corretamente o HTML, permitindo que atacantes injetem código malicioso nas notificações de mensagens perdidas. Isso pode enganar usuários fazendo-os clicar em links prejudiciais ou acreditar em mensagens falsas.
Detalhe técnico
Vulnerabilidade de injeção HTML (CWE-74) nos templates de email do Synapse afeta alertas de mensagens perdidas onde entrada do usuário não é sanitizada antes da renderização em contexto HTML. O ataque requer que um atacante elabore mensagens com payloads HTML; notificações de expiração de conta são afetadas mas não exploráveis pois o recurso está desabilitado por padrão.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Synapse is a Matrix reference homeserver written in python (pypi package matrix-synapse). Matrix is an ecosystem for open federated Instant Messaging and VoIP. In Synapse before version 1.27.0, the notification emails sent for notifications for missed messages or for an expiring account are subject to HTML injection. In the case of the notification for missed messages, this could allow an attacker to insert forged content into the email. The account expiry feature is not enabled by default and the HTML injection is not controllable by an attacker. This is fixed in version 1.27.0.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:H/A:N
Produtos afetados
matrix-org · synapseQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/matrix-org/synapse/commit/e54746bdf7d5c831eabe4dcea76a7626f1de73dfhttps://github.com/matrix-org/synapse/pull/9200https://github.com/matrix-org/synapse/releases/tag/v1.27.0https://github.com/matrix-org/synapse/security/advisories/GHSA-c5f8-35qr-q4fmhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TNNAJOZNMVMXM6AS7RFFKB4QLUJ4IFEY/