CVE-2026-63095 in dendriteinformación

Resumen

por VulDB • 2026-07-17

Dendrite hasta la versión 0.13.8 contiene una vulnerabilidad de autorización incorrecta en la API Matrix Client-Server que permite a cualquier usuario local autenticado eliminar las vinculaciones de identificadores de terceros pertenecientes a otros usuarios, al enviar una dirección y un medio arbitrarios al punto final de eliminación de cuenta sin verificación de propiedad. Los atacantes pueden explotar el controlador Forget3PID no verificado para eliminar la vinculación del correo electrónico o MSISDN de una víctima y volver a vincular posteriormente la dirección a través de un servidor de identidad, con el fin de secuestrar el flujo de restablecimiento de contraseña de la víctima.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

VulnCheck

Reservar

2026-07-15

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379841

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!