Davidbors-Snyk

**Nome do Software Vulnerável e Versões Afetadas** Versões do FastAPI Users anteriores à 15.0.2 **Descrição** O FastAPI Users é um sistema projetado para adicionar registro e autenticação a projetos FastAPI. Existe uma vulnerabilidade de Cross-Site Request Forgery (CSRF) de login porque os tokens de estado de login OAuth são sem estado e carecem de entropia por solicitação ou de dados que os vinculem à sessão de origem. A função `generate state token()` utiliza sempre um dicionário `state data` vazio, resultando em um JWT contendo apenas um claim de audiência fixo e um timestamp de expiração. No callback, a biblioteca verifica apenas a assinatura e a expiração do JWT, sem correlacioná-lo ao navegador de origem ou utilizar um cache no lado do servidor. Um atacante pode capturar o estado gerado pelo servidor, concluir o fluxo OAuth com sua própria conta e, em seguida, induzir uma vítima a carregar uma URL de callback manipulada. Isso permite que o atacante potencialmente assuma o controle da conta da vítima ou faça a vítima logar na conta do atacante. O **endpoint da API** `/authorize` e `/callback?code=<attacker code>&state=<attacker state>` estão envolvidos nesta questão. A função vulnerável é `generate state token()`. **Recomendações** Atualize para a versão 15.0.2 ou posterior do FastAPI Users.