Christopher Davenport

**Nome do software vulnerável e versões afetadas** fs2-io, versões 3.1.0 a 3.2.10 **Descrição** O problema ocorre ao estabelecer um `TLSSocket` no modo servidor usando o `fs2-io` no Node.js, quando o parâmetro `requestCert = true` é ignorado e a verificação do certificado do par é omitida, permitindo que a conexão prossiga. Essa vulnerabilidade é limitada ao `fs2-io` em execução no Node.js, afetando especificamente `TLSSocket`s no modo servidor com TLS mútuo (mTLS) habilitado via `requestCert = true` em `TLSParameters`. A configuração padrão para `TLSSocket`s no modo servidor é `false`. **Recomendações** Para as versões 3.1.0 a 3.2.10 do fs2-io, atualize para a versão 3.2.11 ou posterior, na qual o parâmetro `requestCert = true` é respeitado e a verificação do certificado do par é realizada corretamente, gerando uma `SSLException` caso a verificação falhe. Como solução alternativa temporária para versões não corrigidas no Node.js, não use um `TLSSocket` no modo servidor com `requestCert = true` para estabelecer uma conexão mTLS.