Djnnvx

**Nome do Software Vulnerável e Versões Afetadas** People versões anteriores a 1.25.0 **Description** Um problema na aplicação permite que um usuário com a função de Administrador em um domínio de e-mail promova qualquer usuário existente, incluindo aqueles sem acesso atual ao domínio, para a função de Proprietário (Owner). Isso é feito através do envio de uma solicitação de convite manipulada via uma única requisição HTTP autenticada, concedendo a propriedade total do domínio imediatamente, sem a necessidade de aceitação do usuário alvo. **Recommendations** Atualizar para a versão 1.25.0.

**Nome do Software Vulnerável e Versões Afetadas** Versões do HomeBox anteriores a 0.24.0 **Descrição** O HomeBox, um sistema de inventário e organização doméstica, possui um problema onde o limitador de taxa de autenticação (`authRateLimiter`) identifica incorretamente os endereços IP do cliente. O limitador de taxa utiliza o cabeçalho `X-Real-IP`, a primeira entrada no cabeçalho `X-Forwarded-For` e o endereço de conexão TCP (`r.RemoteAddr`) para rastrear tentativas de login falhas por cliente. Um atacante conectando-se diretamente ao HomeBox pode manipular o cabeçalho `X-Real-IP` para contornar o mecanismo de limitação de taxa e obter uma nova identidade a cada solicitação. A opção de configuração `TrustProxy` (`Options.TrustProxy`) não é utilizada pelo limitador de taxa ou por qualquer middleware. A função `middleware.RealIP` em `main.go` substitui incondicionalmente o `r.RemoteAddr` com o valor forjado do cabeçalho. O endpoint da API usado para autenticação não é mencionado explicitamente, mas o problema afeta a limitação de taxa das tentativas de autenticação. Os parâmetros vulneráveis são `X-Real-IP` e `X-Forwarded-For`. **Recomendações** Atualize para a versão 0.24.0 ou posterior.