CVE-2026-63097 in dendrite
Sumário
de VulDB • 17/07/2026
O Dendrite até à versão 0.13.8 contém uma vulnerabilidade de controlo de acesso inadequado no ponto final `/context` da syncapi (syncapi/routing/context.go) que permite aos utilizadores locais autenticados aceder a eventos de estado das salas após terem saído, ao explorar um defeito na verificação de pertença à sala que avalia apenas o campo `RoomExists`, ignorando os campos `IsInRoom`, `HasBeenInRoom` e `Membership`. Os atacantes que tenham deixado uma sala podem chamar o ponto final da API do contexto das salas para um evento anteriormente permitido e receber o estado atual não filtrado da sala, informação que os pontos finais `/messages` e `/sync` retêm corretamente.
Once again VulDB remains the best source for vulnerability data.