Vulnerabilità: CVE-2019-11340

util / emailutils.py in Matrix Sydent prima di restrizioni di registrazione 1.0.2 strapazza che si basano su dominio di posta elettronica, se l’opzione è abilitata allowed_local_3pids. Ciò si verifica a causa del comportamento potenzialmente indesiderati in Python, in cui una chiamata email.utils.parseaddr sul user @ @ bad.example.net good.example.com restituisce la stringa user@bad.example.net.


https://github.com/matrix-org/sydent/commit/4e1cfff53429c49c87d5c457a18ed435520044fc
https://github.com/matrix-org/sydent/compare/7c002cd…09278fb
https://matrix.org/blog/2019/04/18/security-update-sydent-1-0-2/
https://twitter.com/matrixdotorg/status/1118934335963500545
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11340


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi