一、 漏洞 CVE-2023-43796 基础信息
漏洞标题
Synapse 易受到远程用户设备信息泄露的攻击
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述 Synapse 是一个开源的 Matrix homeserver。在 1.95.1 和 1.96.0rc1 版本之前,可以查询远程用户的缓存设备信息,从而枚举服务器已知的远程用户。 ## 影响版本 - 1.95.1 之前的所有版本 - 1.96.0rc1 之前的所有版本 ## 细节 缓存的远程用户设备信息可以在 Synapse 中被查询,这可能导致用户枚举攻击。 ## 影响 系统管理员应升级到 Synapse 1.95.1 或 1.96.0rc1 以获得补丁。作为临时解决方案,可以使用 `federation_domain_whitelist` 限制与特定 homeserver 的联邦流量。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
信息暴露
来源:AIGC 神龙大模型
漏洞标题
Synapse vulnerable to leak of remote user device information
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Synapse is an open-source Matrix homeserver Prior to versions 1.95.1 and 1.96.0rc1, cached device information of remote users can be queried from Synapse. This can be used to enumerate the remote users known to a homeserver. System administrators are encouraged to upgrade to Synapse 1.95.1 or 1.96.0rc1 to receive a patch. As a workaround, the `federation_domain_whitelist` can be used to limit federation traffic with a homeserver.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Matrix Synapse 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Matrix Synapse是英国Matrix基金会的一款矩阵管理服务器的实现。 Matrix Synapse 1.95.1之前、1.96.0rc1之前版本存在信息泄露漏洞,该漏洞源于可以从Synapse查询远程用户缓存的设备信息,这可用于枚举用户。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-43796 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-43796 的情报信息