Benjamin Delay

**Nome do software vulnerável e versões afetadas** Versões do Dapr anteriores à 1.13.3 **Descrição** O Dapr envia o token do aplicativo de origem em vez do token do aplicativo de destino ao ser utilizado como proxy gRPC para a invocação remota de serviços, causando um vazamento do token do aplicativo de origem para o aplicativo de destino. Este problema afeta usuários do Dapr que utilizam o Dapr como proxy gRPC para invocação remota de serviços, bem como a funcionalidade do token da API do aplicativo Dapr. Um invasor poderia explorar essa vulnerabilidade para obter acesso ao token do aplicativo invocador, comprometendo potencialmente a segurança e os mecanismos de autenticação. **Recomendações** Para versões anteriores à 1.13.3, atualize o Dapr para a versão 1.13.3 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à invocação do serviço de proxy gRPC para minimizar o risco de exploração. Evite usar o `APP API TOKEN` em solicitações entre sidecars do Dapr até que o problema seja resolvido.