Informazioni sul CVE-2024-32000
Truncated content of messages can be leaked from matrix-appservice-irc
CWE ID: CWE-280
Base Score (CVSS): N/A
CVE: CVE-2024-32000
Descrizione: matrix-appservice-irc è un ponte Node.js per il protocollo IRC Matrix. Prima della versione 2.0.0, matrix-appservice-irc può essere sfruttato per rubare il corpo troncato di un messaggio in un evento a cui un utente malintenzionato invia un messaggio Matrix. Prima dell’attacco, l’utente malintenzionato deve conoscere l’ID dell’evento che vuole rubare e essere iscritto sia al canale Matrix che al canale IRC a cui è collegato. Il messaggio che contiene il contenuto del messaggio rubato è visibile ai membri del canale IRC quando questo accade. matrix-appservice-irc 2.0.0 verifica se l’utente ha il permesso di visualizzare un evento prima di costruire una risposta. Gli amministratori dovrebbero aggiornare a questa versione. È possibile limitare la quantità di informazioni rubate impostando un template di risposta che non contenga il contenuto originale del messaggio. Vedi le linee `601-604` nel file di configurazione collegato.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: Low, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/matrix-org/matrix-appservice-irc/security/advisories/GHSA-wm4w-7h2q-3pf7
- https://github.com/matrix-org/matrix-appservice-irc/pull/1799
- https://github.com/matrix-org/matrix-appservice-irc/blob/d5d67d1d3ea3f0f6962a0af2cc57b56af3ad2129/config.sample.yaml#L601-L604
Prodotti interessati
- matrix-org – matrix-appservice-irc
Relazioni con altri prodotti
Produttore:matrix-org
Prodotto: matrix-appservice-irc
Anno: 2024
CWE: CWE-280
CVSS: 0.0