Aaronontheweb

**Nome do Software Vulnerável e Versões Afetadas** Versões do Akka.NET de 1.2.0 a 1.5.51 **Descrição** O Akka.NET, uma versão portada do projeto Akka para .NET, possui um problema onde o componente Akka.Remote não implementou TLS Mútuo (mTLS) nas versões de 1.2.0 a 1.5.51. Quando o TLS era habilitado via transporte `akka.remote.dot-netty.tcp`, o servidor validava corretamente as chaves privadas para conexões de entrada, mas não exigia que os clientes apresentassem seus certificados. Isso permitia que partes não confiáveis se conectassem a um cluster protegido com uma chave privada e começassem a se comunicar sem autenticação. O problema foi resolvido impondo o mTLS por padrão, exigindo que ambas as partes utilizem chaves baseadas no mesmo certificado. Uma correção também foi implementada para impor a semântica de "fail fast" se o TLS estiver habilitado, mas a chave privada estiver ausente ou inválida. A vulnerabilidade afeta aqueles que executam o Akka.NET dentro de uma rede privada ou aqueles que não estavam usando TLS. **Recomendações** Atualize para a versão 1.5.52 ou posterior do Akka.NET. Como solução alternativa, evite expor a aplicação publicamente.