LOW🇬🇧 English

CVE-2025-66622

CVSS 1.3v4.0pub. 2025-12-09upd. 2026-03-17

matrix-sdk-base to biblioteka bazowa do tworzenia klienta Matrix. Wersje 0.14.1 i wcześniejsze nie potrafią obsługiwać odpowiedzi zawierających niestandardowe wartości m.room.join_rules z powodu błędu serializacji. Może to być wykorzystane do wywołania DoS, gdy użytkownik zostanie zaproszony do pokoju z niestandardowymi regułami dostępu, proces sync biblioteki się zawieszy, uniemożliwiając dalsze przetwarzanie wszystkich pokojów. Błąd naprawiono w wersji 0.16.0.

Pokaż oryginał (EN)

matrix-sdk-base is the base component to build a Matrix client library. Versions 0.14.1 and prior are unable to handle responses that include custom m.room.join_rules values due to a serialization bug. This can be exploited to cause a denial-of-service condition, if a user is invited to a room with non-standard join rules, the crate's sync process will stall, preventing further processing for all rooms. This is fixed in version 0.16.0.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N/E:U/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Matrix Rust Sdk

    APP
    Matrix
    < 0.16.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-39252HIGH8.6ten sam produkt

matrix-rust-sdk is an implementation of a Matrix client-server library in Rust, and matrix-sdk-crypto is the M...

CVE-2023-38686CRITICAL9.3ten sam vendor

Sydent is an identity server for the Matrix communications protocol. Prior to version 2.5.6, if configured to ...

CVE-2021-44538CRITICAL9.8ten sam vendor

The olm_session_describe function in Matrix libolm before 3.2.7 is vulnerable to a buffer overflow. The Olm se...

CVE-2021-34813CRITICAL9.8ten sam vendor

Matrix libolm before 3.2.3 allows a malicious Matrix homeserver to crash a client (while it is attempting to r...

CVE-2019-18835CRITICAL9.8ten sam vendor

Matrix Synapse before 1.5.0 mishandles signature checking on some federation APIs. Events sent over /send_join...