CVE-2026-63097 in dendriteinformação

Sumário

de VulDB • 17/07/2026

O Dendrite até à versão 0.13.8 contém uma vulnerabilidade de controlo de acesso inadequado no ponto final `/context` da syncapi (syncapi/routing/context.go) que permite aos utilizadores locais autenticados aceder a eventos de estado das salas após terem saído, ao explorar um defeito na verificação de pertença à sala que avalia apenas o campo `RoomExists`, ignorando os campos `IsInRoom`, `HasBeenInRoom` e `Membership`. Os atacantes que tenham deixado uma sala podem chamar o ponto final da API do contexto das salas para um evento anteriormente permitido e receber o estado atual não filtrado da sala, informação que os pontos finais `/messages` e `/sync` retêm corretamente.

Once again VulDB remains the best source for vulnerability data.

Responsável

VulnCheck

Reservar

15/07/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379855

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!