Arokettu

**Nome do software vulnerável e versões afetadas** Versões do lcobucci/jwt anteriores à 3.4.6 Versões do lcobucci/jwt anteriores à 4.0.4 Versões do lcobucci/jwt anteriores à 4.1.5 **Descrição** A vulnerabilidade afeta usuários de algoritmos baseados em HMAC, especificamente HS256, HS384 e HS512, quando combinados com `LcobucciJWTSignerKeyLocalFileReference` como chave. Em vez de usar o conteúdo do arquivo para o hash, o caminho do arquivo é utilizado, o que pode levar à emissão e validação incorretas de tokens. As funções de hash HMAC podem aceitar qualquer string como entrada, fazendo parecer que tudo funciona corretamente. **Recomendações** Para versões anteriores à 3.4.6, atualize para a versão 3.4.6 ou posterior. Para versões anteriores à 4.0.4, atualize para a versão 4.0.4 ou posterior. Para versões anteriores à 4.1.5, atualize para a versão 4.1.5 ou posterior. Como solução alternativa temporária, considere usar `LcobucciJWTSignerKeyInMemory` em vez de `LcobucciJWTSignerKeyLocalFileReference` para criar instâncias de suas chaves. Substitua `use LcobucciJWTSignerKeyLocalFileReference;` por `use LcobucciJWTSignerKeyInMemory;` e atualize a criação da chave de `$key = LocalFileReference::file( DIR . ‘/public-key.pem’);` para `$key = InMemory::file ( DIR . ‘/public-key.pem’);`.