Balazsorban44

**Nome do software vulnerável e versões afetadas** Versões do NextAuth.js anteriores à 4.10.3 Versões do NextAuth.js anteriores à 3.29.10 **Descrição** A vulnerabilidade permite que um invasor forje uma solicitação que envie uma lista de e-mails separados por vírgulas para o endpoint de login, resultando no envio de e-mails tanto para o endereço de e-mail do invasor quanto para o da vítima. O invasor pode então fazer login como um usuário recém-criado com o e-mail sendo uma combinação dos endereços de e-mail do invasor e da vítima, potencialmente contornando a autorização básica. Isso é possível porque a verificação `email.endsWith(“@victim.com”)` na chamada de retorno `signIn` falharia em comunicar uma ameaça ao desenvolvedor. A vulnerabilidade foi corrigida normalizando o valor do e-mail enviado ao endpoint de login. **Recomendações** Para versões anteriores à 4.10.3, atualize para a versão 4.10.3 ou posterior executando `npm i next-auth@latest`, `yarn add next-auth@latest` ou `pnpm add next-auth@latest`. Para versões anteriores à 3.29.10, atualize para a versão 3.29.10 ou posterior, ou considere permanecer na versão v4. Se a atualização não for possível, normalize a solicitação recebida usando a Inicialização Avançada, como implementar uma função para normalizar o identificador de e-mail, por exemplo: ```ts function normalize(identifier) { let [local, domain] = identifier.toLowerCase().trim().split(“@”) domain = domain.split(“,”)[0] return `${local}@${domain}` } ```

**Nome do software vulnerável e versões afetadas** Versões do next-auth anteriores à v4.10.2 Versões do next-auth anteriores à v3.29.9 **Descrição** Um problema de divulgação de informações permite que um invasor com privilégios de acesso ao log obtenha informações excessivas, como o segredo de um provedor de identidade no log, que é gerado durante o tratamento de erros do OAuth. Isso pode ser usado para realizar ataques adicionais ao sistema, como se passar pelo cliente para solicitar permissões abrangentes. O problema foi corrigido movendo o log de informações do provedor para o nível de depuração, e foi adicionado um aviso para que a opção de depuração não seja ativada em ambiente de produção. **Recomendações** Para versões anteriores à v4.10.2 e v3.29.9, atualize para a v4.10.2 ou v3.29.9 para corrigir a vulnerabilidade. Se a atualização não for possível, use a opção de configuração do logger para sanitizar os logs e evitar a divulgação de informações. Considere definir debug: process.env.NODE ENV !== “production” para permitir a depuração apenas quando não estiver em produção. Defina a opção do logger com a sanitização adequada de informações potencialmente confidenciais do usuário, caso seja necessário registrar mensagens de depuração durante a produção.

**Nome do software vulnerável e versões afetadas** Versões do NextAuth.js anteriores à 3.29.5 Versões do NextAuth.js anteriores à 4.5.0 **Descrição** Um invasor pode enviar uma solicitação a um aplicativo que utilize o NextAuth.js com um parâmetro de consulta `callbackUrl` inválido, que é convertido internamente em um objeto `URL`. A instanciação da URL falharia devido a uma URL malformada ser passada para o construtor, fazendo com que ele lançasse um erro não tratado, o que levava ao tempo limite do manipulador de rota da API e à falha no login. **Recomendações** Para versões do NextAuth.js anteriores à 3.29.5, atualize para a versão 3.29.5 ou posterior. Para versões do NextAuth.js anteriores à 4.5.0, atualize para a versão 4.5.0 ou posterior. Como solução alternativa temporária, considere usar a Inicialização Avançada para validar o parâmetro de consulta `callbackUrl` antes de passá-lo para a API do NextAuth.js. Por exemplo, você pode adicionar uma função de validação para verificar se o `callbackUrl` é uma URL HTTP válida antes de chamar a API do NextAuth.js.