praisonai: WhatsApp e Linear ignoram verificação de HMAC quando secret não está definido
Os adaptadores de bot do WhatsApp e Linear pulam a verificação de assinatura HMAC de webhooks de entrada quando a variável de ambiente do segredo não está defin
O que mudou
Os adaptadores de bot do WhatsApp e Linear pulam a verificação de assinatura HMAC de webhooks de entrada quando a variável de ambiente do segredo não está definida, permitindo que atacantes não autenticados injetem eventos arbitrários da plataforma.
Quem isso afeta
Usuários do praisonai que implantam adaptadores de bot do WhatsApp ou Linear sem definir as variáveis de ambiente de segredo necessárias (WHATSAPP_APP_SECRET ou LINEAR_WEBHOOK_SECRET).
O que fazer hoje
Defina as variáveis de ambiente WHATSAPP_APP_SECRET e LINEAR_WEBHOOK_SECRET com um segredo forte ou aplique a correção para falhar fechado quando nenhum segredo estiver configurado.