python · backpropagateCrítico

backpropagate: --auth não autentica UI Reflex (CVE pendente)

Em backpropagate >= 1.1.0, a flag --auth documenta exigir autenticação HTTP Basic, mas o backend Reflex nunca lê a variável de ambiente BACKPROPAGATE_UI_AUTH, d

27 Jun 2026Leitura 1 minSeveridade: mexe agora

O que mudou

Em backpropagate >= 1.1.0, a flag --auth documenta exigir autenticação HTTP Basic, mas o backend Reflex nunca lê a variável de ambiente BACKPROPAGATE_UI_AUTH, deixando a UI completamente sem autenticação. Corrigido na v1.2.0 com middleware ASGI real.

Quem isso afeta

Todos os usuários de backpropagate >= 1.1.0 que usam a UI web Reflex, especialmente quem passa as flags --auth ou --share.

O que fazer hoje

Atualize para v1.2.0 imediatamente via pip install --upgrade backpropagate ou npm install -g @mcptoolshop/backpropagate@latest. Se não puder atualizar, não use --auth ou --share; use SSH port-forwarding.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · backpropagate

backpropagate: --auth não autentica UI Reflex (CVE pendente)

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre backpropagate

nono-py: bypass de proxy_only() em kernels Linux <6.7 sem Landlock

nono-py: Configuração vazia de allowed_hosts permitia todos os hosts por padrão