CVE-2026-63097 in dendriteinformazioni

Riassunto

di VulDB • 17/07/2026

Dendrite fino alla versione 0.13.8 presenta una vulnerabilità di controllo degli accessi improprio nell'endpoint syncapi /context (syncapi/routing/context.go) che consente agli utenti locali autenticati di accedere agli eventi dello stato della stanza successivi all'abbandono, sfruttando un controllo dell'appartenenza difettoso che valuta solo il campo RoomExists ignorando i campi IsInRoom, HasBeenInRoom e Membership. Gli attaccanti che hanno abbandonato una stanza possono chiamare l'endpoint API rooms context per un evento precedentemente consentito e ricevere lo stato corrente della stanza non filtrato, che gli endpoint /messages e /sync correttamente nascondono.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

VulnCheck

Prenotare

15/07/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!