Cedws

**Nome do software vulnerável e versões afetadas** github.com/runatlantis/atlantis/server/controllers/events versões anteriores à 0.19.7 **Descrição** A vulnerabilidade está relacionada a um ataque de temporização no código do validador de eventos de webhook, que não utiliza uma função de comparação de tempo constante para validar o segredo do webhook. Isso pode permitir que um invasor recupere o segredo e, em seguida, falsifique eventos de webhook. A validação de solicitações do GitLab também pode vazar segredos devido ao uso de uma comparação de tempo não constante para segredos. **Recomendações** Para versões anteriores à 0.19.7, atualize para a versão 0.19.7 ou posterior para resolver o problema. Como solução temporária, considere desativar o código do validador de eventos do webhook até que um patch esteja disponível. Restrinja o acesso ao pacote `github.com/runatlantis/atlantis/server/controllers/events` para minimizar o risco de exploração. Evite usar o `segredo do webhook` no endpoint da API afetado até que o problema seja resolvido.