CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-12423
https://notcve.org/view.php?id=CVE-2018-12423
14 Jun 2018 — In Synapse before 0.31.2, unauthorised users can hijack rooms when there is no m.room.power_levels event in force. En Synapse en versiones anteriores a la 0.31.2, los usuarios no autorizados pueden secuestrar salas cuando no hay ningún evento m.room.power_levels en aplicación. • https://bugs.debian.org/901549 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-12291
https://notcve.org/view.php?id=CVE-2018-12291
13 Jun 2018 — The on_get_missing_events function in handlers/federation.py in Matrix Synapse before 0.31.1 has a security bug in the get_missing_events federation API where event visibility rules were not applied correctly. La función on_get_missing_events en handlers/federation.py en Matrix Synapse en versiones anteriores a la 0.31.1 tiene un error de seguridad en la API de federación get_missing_events donde las reglas de visibilidad de evento no se aplicaron correctamente. • https://github.com/matrix-org/synapse/pull/3371 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-10657 – Ubuntu Security Notice USN-6076-1
https://notcve.org/view.php?id=CVE-2018-10657
02 May 2018 — Matrix Synapse before 0.28.1 is prone to a denial of service flaw where malicious events injected with depth = 2^63 - 1 render rooms unusable, related to federation/federation_base.py and handlers/message.py, as exploited in the wild in April 2018. Matrix Synapse en versiones anteriores a la 0.28.1 es propenso a un error de denegación de servicio (DoS) en el que los eventos maliciosos inyectados con una profundidad de = 2^63 - 1 hacen que las habitaciones no puedan usarse. Esto está relacionado con federati... • https://github.com/matrix-org/synapse/commit/33f469ba19586bbafa0cf2c7d7c35463bdab87eb • CWE-20: Improper Input Validation •