python · lemurCrítico

lemur: senha de usuário armazenada em texto puro ao atualizar via API

Ao atualizar a senha de um usuário via PUT /api/1/users/<id>, a senha é armazenada em texto puro na coluna users.

26 Jun 2026Leitura 1 minSeveridade: mexe agora

O que mudou

Ao atualizar a senha de um usuário via PUT /api/1/users/<id>, a senha é armazenada em texto puro na coluna users.password porque o listener before_update está ausente e service.update() não chama hash_password().

Quem isso afeta

Todas as implantações do Lemur onde administradores alteram senhas através do endpoint PUT /api/1/users/<id>.

O que fazer hoje

Aplique a correção adicionando um listener before_update ou chamando user.hash_password() em service.update(). Em seguida, rotacione todas as senhas que possam ter sido armazenadas em texto puro.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · lemur

lemur: senha de usuário armazenada em texto puro ao atualizar via API

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre lemur

langgraph-sdk: correção de segurança na codificação de segmentos de caminho

lemur: Vulnerabilidade de autorização insuficiente no endpoint PUT /api/1/roles/<id>