js · nodemailerAtenção
Nodemailer desabilita verificação de certificado TLS em requisições OAuth2
O cliente HTTP interno do Nodemailer desabilita a verificação de certificado TLS via rejectUnauthorized: false em lib/fetch/index.
O que mudou
O cliente HTTP interno do Nodemailer desabilita a verificação de certificado TLS via rejectUnauthorized: false em lib/fetch/index.js, fazendo com que tokens OAuth2 confiem em certificados inválidos ou autoassinados.
Quem isso afeta
Aplicações que usam Nodemailer com autenticação OAuth2, onde um atacante em posição de intermediário pode interceptar credenciais OAuth (client_secret, refresh_token, access tokens).
O que fazer hoje
Atualize o Nodemailer para uma versão corrigida ou sobrescreva as opções TLS para forçar a verificação de certificado.
A esteira
Coletado→
Auditado→
Redigido→
Publicado