js · @merill/lokkaCrítico
@merill/lokka anterior a 2.1.2: vazamento de token via concatenação de URL
Versões do Lokka anteriores a 2.
O que mudou
Versões do Lokka anteriores a 2.1.2 construíam URLs de requisição ao Azure Resource Manager concatenando strings diretamente com entrada de caminho controlada pelo usuário, o que podia fazer com que tokens de portador do Azure Resource Manager fossem enviados a um host não intencional. A versão 2.1.2 corrige isso validando caminhos do Azure antes da aquisição do token e construindo URLs com a API de URL padrão.
Quem isso afeta
Usuários do @merill/lokka versões anteriores a 2.1.2.
O que fazer hoje
Atualize imediatamente para a versão 2.1.2 ou superior.
A esteira
Coletado→
Auditado→
Redigido→
Publicado