一、 漏洞 CVE-2024-51749 基础信息
漏洞标题
Element缩略图功能存在滥用风险
来源:AIGC 神龙大模型
漏洞描述信息
Element 是一个基于 Matrix React SDK 构建的 Matrix web 客户端。Element Web 和桌面版在 1.11.85 之前的版本中,未检查附件、贴纸和图片的缩略图是否一致。这可能导致恶意用户为事件添加缩略图,一旦点击就会触发文件下载。该问题已在 element-web 1.11.85 版本中修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
输入验证不恰当
来源:AIGC 神龙大模型
漏洞标题
Element's thumbnails can be abused to misrepresent the content of an attachment
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Element is a Matrix web client built using the Matrix React SDK. Versions of Element Web and Desktop earlier than 1.11.85 do not check if thumbnails for attachments, stickers and images are coherent. It is possible to add thumbnails to events trigger a file download once clicked. Fixed in element-web 1.11.85.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
关键信息的UI错误表达
来源:美国国家漏洞数据库 NVD
漏洞标题
Element 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Element是Element开源的一个 Matrix 网络协作客户端。 Element 1.11.85之前版本存在安全漏洞,该漏洞源于没有检查附件、贴纸和图片的缩略图是否连贯。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-51749 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-51749 的情报信息