CVE-2024-56515

Matrix Media Repo (MMR) is a highly configurable multi-homeserver media repository for Matrix. If SVG or JPEGXL thumbnailers are enabled (they are disabled by default), a user may upload a file which claims to be either of these types and request a thumbnail to invoke a different decoder in ImageMagick. In some ImageMagick installations, this includes the capability to run Ghostscript to decode the image/file. If MP4 thumbnailers are enabled (also disabled by default), the same issue as above may occur with the ffmpeg installation instead. MMR uses a number of other decoders for all other file types when preparing thumbnails. Theoretical issues are possible with these decoders, however in testing they were not possible to exploit. This is fixed in MMR v1.3.8. MMR now inspects the mimetype of media prior to thumbnailing, and picks a thumbnailer based on those results instead of relying on user-supplied values. This may lead to fewer thumbnails when obscure file shapes are used. This also helps narrow scope of theoretical issues with all decoders MMR uses for thumbnails. Users are advised to upgrade. Users unable to upgrade may disable the SVG, JPEGXL, and MP4 thumbnail types in the MMR config which prevents the decoders from being invoked. Further disabling uncommon file types on the server is recommended to limit risk surface. Containers and other similar technologies may also be used to limit the impact of vulnerabilities in external decoders, like ImageMagick and ffmpeg. Some installations of ImageMagick may disable "unsafe" file types, like PDFs, already. This option can be replicated to other environments as needed. ffmpeg may be compiled with limited decoders/codecs. The Docker image for MMR disables PDFs and similar formats by default.

CVSS v3 6.8 MEDIUM

6.8^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.3 / Impact : 4.0

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope CHANGED

References

Link	Resource
https://github.com/t2bot/matrix-media-repo/releases/tag/v1.3.8	Release Notes
https://github.com/t2bot/matrix-media-repo/security/advisories/GHSA-rcxc-wjgw-579r	Vendor Advisory Mitigation

Configurations

Configuration 1 (hide)

cpe:2.3:a:t2bot:matrix-media-repo:*:*:*:*:*:*:*:*

History

20 Aug 2025, 14:41

Type	Values Removed	Values Added
References	~~() https://github.com/t2bot/matrix-media-repo/releases/tag/v1.3.8 -~~	() https://github.com/t2bot/matrix-media-repo/releases/tag/v1.3.8 - Release Notes
References	~~() https://github.com/t2bot/matrix-media-repo/security/advisories/GHSA-rcxc-wjgw-579r -~~	() https://github.com/t2bot/matrix-media-repo/security/advisories/GHSA-rcxc-wjgw-579r - Vendor Advisory, Mitigation
Summary		(es) Matrix Media Repo (MMR) es un repositorio multimedia para múltiples servidores domésticos altamente configurable para Matrix. Si los generadores de miniaturas SVG o JPEGXL están habilitados (están deshabilitados de manera predeterminada), un usuario puede cargar un archivo que diga ser de cualquiera de estos tipos y solicitar una miniatura para invocar un decodificador diferente en ImageMagick. En algunas instalaciones de ImageMagick, esto incluye la capacidad de ejecutar Ghostscript para decodificar la imagen/archivo. Si los generadores de miniaturas MP4 están habilitados (también deshabilitados de manera predeterminada), puede ocurrir el mismo problema mencionado anteriormente con la instalación de ffmpeg. MMR usa otros decodificadores para todos los demás tipos de archivos al preparar miniaturas. Es posible que surjan problemas teóricos con estos decodificadores, sin embargo, en las pruebas no fue posible explotarlos. Esto se solucionó en MMR v1.3.8. MMR ahora inspecciona el tipo MIME de los medios antes de crear miniaturas y elige un generador de miniaturas en función de esos resultados en lugar de depender de los valores proporcionados por el usuario. Esto puede generar menos miniaturas cuando se usan formas de archivo poco conocidas. Esto también ayuda a limitar el alcance de los problemas teóricos con todos los decodificadores que utiliza MMR para las miniaturas. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden deshabilitar los tipos de miniatura SVG, JPEGXL y MP4 en la configuración de MMR, lo que evita que se invoquen los decodificadores. Se recomienda deshabilitar aún más los tipos de archivos poco comunes en el servidor para limitar la superficie de riesgo. También se pueden usar contenedores y otras tecnologías similares para limitar el impacto de las vulnerabilidades en decodificadores externos, como ImageMagick y ffmpeg. Algunas instalaciones de ImageMagick ya pueden deshabilitar los tipos de archivos "inseguros", como los PDF. Esta opción se puede replicar en otros entornos según sea necesario. ffmpeg se puede compilar con decodificadores/códecs limitados. La imagen de Docker para MMR deshabilita los PDF y formatos similares de forma predeterminada.
First Time		T2bot T2bot matrix-media-repo
CPE		cpe:2.3:a:t2bot:matrix-media-repo::::::::

16 Jan 2025, 20:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-01-16 20:15

Updated : 2025-08-20 14:41

NVD link : CVE-2024-56515

Mitre link : CVE-2024-56515

CVE.ORG link : CVE-2024-56515

JSON object : View

Products Affected

t2bot

matrix-media-repo

CWE

CWE-502

Deserialization of Untrusted Data

6.8 /10