anchore_overrides
Element-hq
Уязвимости
11
Эксплуатируемые
0
Критический
0
Высокий
5
Топ продуктов
Топ уязвимостей
CVE-2024-52815Synapse — это сервер Matrix с открытым исходным кодом. Synapse версий до 1.120.1 не может правильно проверять приглашения, полученные через федерацию. Эта уязвимость позволяет вредоносному серверу отправлять специально созданное приглашение, которое нарушает функциональность /sync приглашенного пользователя. Synapse 1.120.1 отклоняет такие недействительные приглашения, полученные через федерацию, и восстанавливает возможность синхронизации для затронутых пользователей.
CVE-2024-53863Synapse - это Matrix homeserver с открытым исходным кодом. В версиях Synapse до 1.120.1 включение параметра dynamic_thumbnails или обработка специально созданного запроса могли вызвать декодирование и создание эскизов для необычных форматов изображений, что потенциально могло привести к вызову внешних инструментов, таких как Ghostscript, для обработки. Это значительно расширяет поверхность атаки в исторически уязвимой области, представляя риск, который намного перевешивает выгоду, особенно потому, что эти форматы редко используются в открытом Интернете или в экосистеме Matrix. Synapse 1.120.1 решает эту проблему, ограничивая создание эскизов изображениями в следующих широко используемых форматах: PNG, JPEG, GIF и WebP. Эта уязвимость устранена в версии 1.120.1.
CVE-2024-52805Synapse — это сервер Matrix с открытым исходным кодом. В Synapse до 1.120.1 запросы multipart/form-data в определенных конфигурациях могут временно увеличивать потребление памяти сверх ожидаемых уровней во время обработки запроса, что можно использовать для усиления атак типа «отказ в обслуживании». Synapse 1.120.1 решает эту проблему, отклоняя запросы с неподдерживаемым типом контента multipart/form-data.
CVE-2025-30355Synapse - это реализация серверов Matrix с открытым исходным кодом. Злонамеренный сервер может создавать события, которые при получении предотвращают федерацию Synapse версии до 1.127.0 с другими серверами. Уязвимость была использована в дикой природе и была исправлена в Synapse v1.127.1. Известные обходные пути отсутствуют.
CVE-2024-37302Synapse — это Matrix homeserver с открытым исходным кодом. Версии Synapse до 1.106 уязвимы для атаки заполнения диска, когда неаутентифицированный злоумышленник может заставить Synapse загружать и кэшировать большие объемы удаленного медиаконтента. Стратегии ограничения скорости по умолчанию недостаточно для смягчения этой проблемы. Это может привести к отказу в обслуживании, начиная от сбоя дальнейших загрузок/скачиваний медиаконтента до полной недоступности процесса Synapse, в зависимости от того, как был развернут Synapse. Synapse 1.106 представляет новое ограничение скорости «протекающее ведро» на загрузку удаленного медиаконтента, чтобы уменьшить объем данных, которые пользователь может запросить за раз. Это не полностью решает проблему, но ограничивает возможность неаутентифицированного пользователя запрашивать кэширование больших объемов данных.
CVE-2026-45078Synapse - это реализация домашней сервировки Matrix с открытым исходным кодом. До 1.152.1 локальные аутентифицированные пользователи могут заставить Synapse лишить другие запросы процессора и привести к отказу других запросов, в результате чего другим пользователям будет отказано в обслуживании. Эта уязвимость зафиксирована в 1.152.1.
CVE-2024-31208Synapse - это сервер Matrix с открытым исходным кодом. Удаленный пользователь Matrix с вредоносными намерениями, делящий комнату с инстанциями Synapse до версии 1.105.1, может отправлять специально созданные события для эксплуатации уязвимости в алгоритме разрешения состояния V2. Это может вызвать высокое потребление ЦП и накопление избыточных данных в базе данных таких инстансов, что приведет к отказу в обслуживании. Серверы в частных федерациях или те, которые не федератированы, не затрагиваются. Администраторы серверов должны обновиться до версии 1.105.1 или более поздней. Доступны некоторые обходные решения. Можно заблокировать злонамеренных пользователей или заблокировать серверы ACL из комнат и/или покинуть комнату и очистить комнату с помощью API администратора.
CVE-2025-61672Synapse - это реализация домашней сервировки Matrix с открытым исходным кодом. Отсутствие проверки клавиш устройства в Synapse до 1.138.3 и в Synapse 1.139.0 позволяют злоумышленнику, зарегистрированному на домашнем съемном потерпевшего, ухудшать функциональность федерации, непредсказуемо разбивая исходящую федерацию для других домашних сервировщиков. Выпуск исправлен в Synapse 1.138.3, 1.138.4, 1.139.1 и 1.139.2. Обратите внимание, что, хотя 1,138.3 и 1.139.1 исправляют уязвимость, они непреднамеренно ввели несвязанный регресс. По этой причине сопровождение Synapse рекомендует пропустить эти выпуски и обновиться до 1.138.4 и 1.139.2.
CVE-2024-37303Synapse — это Matrix homeserver с открытым исходным кодом. Synapse до версии 1.106 позволяет по умолчанию неаутентифицированным удаленным участникам инициировать загрузку и кэширование удаленного медиаконтента с удаленного homeserver в локальное хранилище медиаконтента. Затем такой контент также становится доступным для загрузки с локального homeserver неаутентифицированным способом. Это означает, что неаутентифицированные удаленные злоумышленники могут использовать эту функциональность для размещения проблемного контента в хранилище медиаконтента. Synapse 1.106 представляет частичное смягчение в виде новых конечных точек, которые требуют аутентификации для загрузки медиаконтента. Неаутентифицированные конечные точки будут заморожены в будущем выпуске, закрывая вектор атаки.
CVE-2026-45076Synapse - это реализация домашней сервировки Matrix с открытым исходным кодом. До 1.152.1, в федеративных комнатах, вредоносные домашние серверы могут создавать комнатные мероприятия таким образом, чтобы помешать Synapse предоставить полную историю начинающим клиентам. Таким образом, клиенты могут не отображать историю комнаты. Эта уязвимость зафиксирована в 1.152.1.
CVE-2024-53867Synapse - это Matrix homeserver с открытым исходным кодом. Функция Sliding Sync в Synapse версий от 1.113.0rc1 до 1.120.0 может привести к утечке частичных изменений состояния комнаты пользователям, которые больше не находятся в комнате. Не относящиеся к состоянию события, такие как сообщения, не затрагиваются. Эта уязвимость устранена в версии 1.120.1.