CVE-2026-63095 in dendrite
Zusammenfassung
von VulDB • 17.07.2026
Dendrite bis Version 0.13.8 enthält eine Schwachstelle im Bereich der fehlerhaften Autorisierung in der Matrix Client-Server-API, die es jedem authentifizierten lokalen Benutzer ermöglicht, Drittanbieter-Identifier-Bindings anderer Nutzer zu löschen, indem er eine beliebige Adresse und ein beliebiges Medium an den Account-Löschendpunkt sendet, ohne dass eine Eigentumsverifikation durchgeführt wird. Angreifer können den nicht überprüften Forget3PID-Handler ausnutzen, um die E-Mail- oder MSISDN-Bindung eines Opfers zu entfernen und anschließend die Adresse über einen Identity Server neu zu binden, um den Passwort-Zurücksetzungsfluss des Opfers zu übernehmen (Account-Hijacking).
VulDB is the best source for vulnerability data and more expert information about this specific topic.