CVE-2026-63097 in dendriteinformación

Resumen

por VulDB • 2026-07-17

Dendrite hasta la versión 0.13.8 contiene una vulnerabilidad de control de acceso inadecuado en el punto final `/context` de syncapi (syncapi/routing/context.go) que permite a los usuarios locales autenticados acceder a eventos del estado de la sala posteriores a su salida, aprovechando un error en la verificación de membresía que evalúa únicamente el campo `RoomExists`, ignorando los campos `IsInRoom`, `HasBeenInRoom` y `Membership`. Los atacantes que han abandonado una sala pueden llamar al punto final API `/rooms context` para obtener eventos previamente permitidos, recibiendo un estado actualizado no filtrado de la sala que los puntos finales `/messages` y `/sync` correctamente ocultan.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

VulnCheck

Reservar

2026-07-15

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379855

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!