Denisvr72

**Nome do software vulnerável e versões afetadas** Versões do sftpgo anteriores à v2.6.4 **Descrição** A implementação do OpenID Connect no sftpgo permite que usuários autenticados realizem ataques de força bruta contra cookies de sessão, obtendo acesso aos dados de outros usuários. Isso ocorre porque os cookies são gerados de forma previsível usando a biblioteca xid e, embora sejam únicos, não são criptograficamente seguros. **Recomendações** Para versões anteriores à v2.6.4, atualize para a versão v2.6.4 ou posterior, na qual os cookies são strings opacas e criptograficamente seguras. Como solução temporária, considere restringir o acesso à implementação do OpenID Connect até que um patch esteja disponível. Evite usar os cookies de sessão gerados de forma previsível nos endpoints da API afetados até que o problema seja resolvido.