Andrew Khoury

**Nome do software vulnerável e versões afetadas** Apache Jackrabbit Oak, versões 1.2.0 a 1.22.0 **Descrição** O problema está relacionado aos recursos opcionais de alteração inicial de senha e expiração de senha. Esses recursos são propensos a um problema de divulgação de informações confidenciais. O código exige que a senha alterada seja passada como um atributo adicional para o objeto `credentials`, mas não a remove durante o processamento na primeira fase da autenticação. Isso pode levar à divulgação da nova senha quando usada em combinação com mecanismos de autenticação adicionais e independentes. **Recomendações** Para as versões 1.2.0 a 1.22.0 do Apache Jackrabbit Oak, considere desativar os recursos de alteração inicial de senha e expiração de senha como uma solução temporária até que um patch esteja disponível. Restrinja o acesso aos mecanismos de autenticação para minimizar o risco de exploração. Evite usar a senha alterada como um atributo no objeto `credentials` até que o problema seja resolvido.