js · network-aiAtenção
network-ai <=5.11.0: ApprovalInbox sem autenticação e CORS aberto
O servidor HTTP ApprovalInbox no network-ai <=5.
O que mudou
O servidor HTTP ApprovalInbox no network-ai <=5.11.0 não possui autenticação e define Access-Control-Allow-Origin: *, permitindo que qualquer site ou processo local enumere e aprove/negue ações pendentes de alto risco sem credenciais.
Quem isso afeta
Todos os usuários do network-ai <=5.11.0 que utilizam o recurso ApprovalInbox (opt-in, mas documentado como medida de segurança).
O que fazer hoje
Atualize para [email protected] ou superior, que exige um segredo do tipo bearer para endpoints mutantes e remove o CORS curinga.
A esteira
Coletado→
Auditado→
Redigido→
Publicado