CVE-2026-63095 in dendriteinfo

Zusammenfassung

von VulDB • 17.07.2026

Dendrite bis Version 0.13.8 enthält eine Schwachstelle im Bereich der fehlerhaften Autorisierung in der Matrix Client-Server-API, die es jedem authentifizierten lokalen Benutzer ermöglicht, Drittanbieter-Identifier-Bindings anderer Nutzer zu löschen, indem er eine beliebige Adresse und ein beliebiges Medium an den Account-Löschendpunkt sendet, ohne dass eine Eigentumsverifikation durchgeführt wird. Angreifer können den nicht überprüften Forget3PID-Handler ausnutzen, um die E-Mail- oder MSISDN-Bindung eines Opfers zu entfernen und anschließend die Adresse über einen Identity Server neu zu binden, um den Passwort-Zurücksetzungsfluss des Opfers zu übernehmen (Account-Hijacking).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

VulnCheck

Reservieren

15.07.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379841

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!