Amh4R

**Nome do Software Vulnerável e Versões Afetadas** Inngest versões 3.22.0 até 3.53.1 **Descrição** Atacantes remotos não autenticados podem exfiltrar variáveis de ambiente do processo host por meio do manipulador HTTP 'serve()'. Embora o manipulador 'serve()' implemente os métodos GET, POST e PUT, as solicitações que utilizam PATCH, OPTIONS ou DELETE são processadas por um manipulador genérico que retorna informações de diagnóstico. Uma alteração fez com que essa resposta de diagnóstico incluísse o conteúdo de `process.env`, expondo segredos, chaves de API ou credenciais. As aplicações são vulneráveis se o endpoint 'serve()' estiver acessível via solicitações PATCH, OPTIONS ou DELETE, o que ocorre em certas configurações, como Next.js Pages Router ou Express usando `app.use()`. **Recomendações** Atualize para a versão 3.54.0 ou posterior. Rotacione quaisquer segredos, incluindo chaves de assinatura e chaves de evento do Inngest, que estivessem presentes em `process.env` nos ambientes afetados. Restrinja o endpoint 'serve()' na camada do framework ou proxy reverso para aceitar apenas solicitações GET, POST e PUT. Ajuste as regras de firewall ou proxy para permitir solicitações ao endpoint 'serve()' apenas a partir de endereços IP do Inngest.