David Borș

**Nome do Software Vulnerável e Versões Afetadas** Versões do fastapi-sso anteriores à 0.19.0 **Descrição** O software está suscetível a Falsificação de Solicitação Entre Sites (CSRF) devido à validação inadequada do parâmetro de estado OAuth durante o callback de autenticação. O método `get login url` gera um valor de estado, mas não o armazena nem o associa à sessão do usuário. Posteriormente, o método `verify and process` aceita o parâmetro de estado dos parâmetros de consulta sem compará-lo a um valor confiável armazenado localmente. Isso permite que um atacante induza um usuário a visitar um URL de callback malicioso, potencialmente vinculando a conta do atacante à conta interna do usuário. **Recomendações** Atualize para a versão 0.19.0 ou posterior.