Denial of service (via resource exhaustion) due to improper input validation on groups/communities endpoints 漏洞信息(CVE-2021-21393)

一、漏洞 CVE-2021-21393 基础信息

漏洞标题

由于对组/社区端点的输入验证不当，导致服务拒绝（通过资源耗尽）

来源：AIGC 神龙大模型

漏洞描述信息

由于对组/社区端点的输入验证不当，导致服务拒绝（通过资源耗尽）

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Denial of service (via resource exhaustion) due to improper input validation on groups/communities endpoints

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Synapse is a Matrix reference homeserver written in python (pypi package matrix-synapse). Matrix is an ecosystem for open federated Instant Messaging and VoIP. In Synapse before version 1.28.0 Synapse is missing input validation of some parameters on the endpoints used to confirm third-party identifiers could cause excessive use of disk space and memory leading to resource exhaustion. Note that the groups feature is not part of the Matrix specification and the chosen maximum lengths are arbitrary. Not all clients might abide by them. Refer to referenced GitHub security advisory for additional details including workarounds.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

输入验证不恰当

来源：美国国家漏洞数据库 NVD

漏洞标题

Matrix Synapse 输入验证错误漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Matrix Synapse是英国Matrix基金会的一款矩阵管理服务器的实现。 Synapse 1.28.0版本之前存在安全漏洞，该漏洞源于Synapse缺少对端点上用于确认第三方标识符的某些参数的输入验证，可能会导致磁盘空间和内存的过度使用，从而导致资源耗尽。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

输入验证错误

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2021-21393 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2021-21393 的情报信息

https://pypi.org/project/matrix-synapse/ x_refsource_MISC
https://github.com/matrix-org/synapse/pull/9321 x_refsource_MISC
https://github.com/matrix-org/synapse/pull/9393 x_refsource_MISC
https://github.com/matrix-org/synapse/security/advisories/GHSA-jrh7-mhhx-6h88 x_refsource_CONFIRM
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TNNAJOZNMVMXM6AS7RFFKB4QLUJ4IFEY/ vendor-advisory x_refsource_FEDORA
https://nvd.nist.gov/vuln/detail/CVE-2021-21393

一、 漏洞 CVE-2021-21393 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2021-21393 的公开POC

三、漏洞 CVE-2021-21393 的情报信息

一、漏洞 CVE-2021-21393 基础信息