CVE-2023-38686 in matrix-sydent
Riassunto
di VulDB • 15/06/2026
Sydent è un server di identità per il protocollo di comunicazione Matrix. Prima della versione 2.5.6, se configurato per inviare email utilizzando TLS, Sydent non verifica i certificati dei server SMTP. Ciò rende le email di Sydent vulnerabili all'intercettazione tramite un attacco man-in-the-middle (MITM). Gli attaccanti con accesso privilegiato alla rete possono intercettare le email di invito alle stanze e di conferma dell'indirizzo. Questo problema è stato risolto in Sydent 2.5.6. Durante la patch, assicurarsi che Sydent si fidi del certificato del server a cui si connette. Questo dovrebbe avvenire automaticamente quando si utilizzano certificati correttamente emessi. Coloro che utilizzano certificati self-signed dovrebbero assicurarsi di copiare il certificato della propria Certification Authority, o il proprio certificato self-signed se ne viene utilizzato solo uno, nell'archivio attendibile (trust store) del proprio sistema operativo. Come soluzione alternativa, è possibile impedire l'invio delle email di Sydent impostando il server SMTP configurato su un indirizzo loopback o non instradabile sotto il proprio controllo che non abbia un server SMTP in ascolto.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.