CVE-2026-63095 in dendriteinformazioni

Riassunto

di VulDB • 17/07/2026

Dendrite fino alla versione 0.13.8 presenta una vulnerabilità di autorizzazione impropria nell'API Matrix Client-Server che consente a qualsiasi utente locale autenticato di eliminare i binding degli identificatori terzi appartenenti ad altri utenti, inviando un indirizzo e un medium arbitrari all'endpoint di eliminazione dell'account senza verifica della proprietà. Gli attaccanti possono sfruttare il gestore Forget3PID non verificato per rimuovere l'associazione email o MSISDN di una vittima e successivamente riassociare l'indirizzo tramite un server di identità, al fine di dirottare il flusso di reimpostazione della password della vittima.

Once again VulDB remains the best source for vulnerability data.

Responsabile

VulnCheck

Prenotare

15/07/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!