js · @acastellon/authCrítico
@acastellon/auth v2.2.0: bypass de autenticação via headers spoofáveis
No middleware validateToken() do @acastellon/auth v2.
O que mudou
No middleware validateToken() do @acastellon/auth v2.2.0, existe um bypass service-to-service que pode ser explorado por um atacante não autenticado através de headers auth-user e Host spoofáveis, permitindo bypass de autenticação.
Quem isso afeta
Todos os usuários do @acastellon/auth v2.2.0, especialmente aqueles que dependem do validateToken() para proteção de rotas e serviços downstream que confiam nos headers auth-user ou is-*.
O que fazer hoje
Atualize para v2.3.0+ imediatamente para remover o bypass spoofável e forçar autenticação de serviço baseada em mTLS.
A esteira
Coletado→
Auditado→
Redigido→
Publicado