Vulnerabilidad en Matrix-appservice-irc (CVE-2024-39691)

Matrix-appservice-irc es un puente IRC de Node.js para el protocolo de mensajería Matrix. La solución para GHSA-wm4w-7h2q-3pf7/CVE-2024-32000 incluida en Matrix-appservice-irc 2.0.0 se basaba en la marca de tiempo proporcionada por el servidor doméstico de Matrix para determinar si un usuario tiene acceso al evento al que está respondiendo cuando determina si se incluye o no una versión truncada del evento original en el mensaje IRC. Dado que este valor está controlado por entidades externas, un servidor doméstico Matrix malicioso unido a una sala en la que está presente una instancia de puente Matrix-appservice-irc (anterior a la versión 2.0.1) puede fabricar la marca de tiempo con la intención de engañar al puente para fugar mensajes de la sala, mensajes a los que el servidor doméstico no debería tener acceso. Matrix-appservice-irc 2.0.1 elimina la dependencia de `origin_server_ts` al determinar si un evento debe ser visible o no para un usuario, en lugar de realizar un seguimiento interno de las marcas de tiempo del evento. Como solución alternativa, es posible limitar la cantidad de información filtrada configurando una plantilla de respuesta que no contenga el mensaje original.