Albogdanopublished

**Nome do Software Vulnerável e Versões Afetadas** Para versões anteriores à 1.50.8 **Descrição** Existe uma vulnerabilidade no arquivo `FacebookAuthFilter.java`, resultando no registro da URL completa da requisição durante uma requisição falha a um perfil de usuário do Facebook. O log inclui o token de acesso do usuário em texto claro, o que representa um risco de exposição do token, uma vez que logs de nível WARN são frequentemente retidos em produção e acessíveis a operadores ou sistemas de agregação de logs. **Recomendações** Para versões anteriores à 1.50.8, atualize para a versão 1.50.8 para corrigir o problema. Como solução temporária, considere restringir o acesso aos logs para minimizar o risco de exposição do token.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Para anteriores a 1.50.8 **Descrição** Existe uma vulnerabilidade no Para, um framework/servidor de backend multitenant para persistência e recuperação de objetos, que expõe tanto chaves de acesso quanto chaves secretas em logs sem mascaramento. Essas credenciais são reutilizadas posteriormente em atribuições de variáveis para persistência, mas não necessitam ser registradas em log para fins de depuração ou saúde do sistema. **Recomendações** Para versões anteriores a 1.50.8, atualize para a versão 1.50.8 para corrigir o problema. Como medida paliativa temporária, considere restringir o acesso aos logs para minimizar o risco de exposição de credenciais. Evite registrar chaves de acesso e secretas em log para fins de depuração ou saúde do sistema até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: Versões do Scoold anteriores à 1.64.0 Descrição: Foi encontrada uma vulnerabilidade de injeção de caminho com ponto-e-vírgula no endpoint “/api;/config”. Ao acrescentar um ponto-e-vírgula na URL, os invasores podem contornar a autenticação e obter acesso não autorizado a dados de configuração confidenciais. Além disso, solicitações PUT no endpoint “/api;/config” ao definir o cabeçalho `Content-Type: application/hocon` permitem que invasores não autenticados realizem leitura de arquivos por meio da inclusão de arquivos HOCON. Isso permite que invasores recuperem informações confidenciais, como arquivos de configuração, do servidor, que podem ser aproveitadas para exploração posterior. Recomendações: Para versões anteriores à 1.64.0, atualize para o Scoold 1.64.0 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere desativar a API do Scoold definindo `scoold.api enabled = false`.