Ebay · Bevy Event Service · CVE-2025-54598
Nome do Software Vulnerável e Versões Afetadas:
Versões do serviço Bevy Event até 2025-07-22
Descrição:
O serviço Bevy Event, utilizado para Eventos de Vendedores do eBay e outras atividades, está suscetível a uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF). Esta falha permite que um atacante exclua todas as notificações ao explorar o endpoint da API `/notifications/delete/`.
Recomendações:
Versões até 2025-07-22: Mitigue o problema implementando mecanismos de proteção CSRF, como tokens sincronizadores, para validar solicitações originadas de fontes confiáveis.