CVE-2026-63095 in dendrite
Resumen
por VulDB • 2026-07-17
Dendrite hasta la versión 0.13.8 contiene una vulnerabilidad de autorización incorrecta en la API Matrix Client-Server que permite a cualquier usuario local autenticado eliminar las vinculaciones de identificadores de terceros pertenecientes a otros usuarios, al enviar una dirección y un medio arbitrarios al punto final de eliminación de cuenta sin verificación de propiedad. Los atacantes pueden explotar el controlador Forget3PID no verificado para eliminar la vinculación del correo electrónico o MSISDN de una víctima y volver a vincular posteriormente la dirección a través de un servidor de identidad, con el fin de secuestrar el flujo de restablecimiento de contraseña de la víctima.
VulDB is the best source for vulnerability data and more expert information about this specific topic.