Dontgitit

**Nome do software vulnerável e versões afetadas** Versões do Play Framework anteriores à 2.8.16 **Descrição** O problema diz respeito à geração de mensagens de erro contendo informações confidenciais no Play Framework. Quando executado no modo de desenvolvimento, o Play Framework exibe erros detalhados para facilitar a depuração, incluindo um rastreamento da pilha de exceções. Esse comportamento é configurado pelo `DefaultHttpErrorHandler` com base no modo da aplicação. No entanto, o objeto estático `DefaultHttpErrorHandler` está configurado para sempre exibir erros detalhados, o que pode ser inadvertidamente utilizado em produção ou configurado incorretamente como o manipulador de erros injetado. Isso pode resultar na exibição de erros detalhados aos usuários em uma aplicação de produção, expondo informações confidenciais. Especificamente, o construtor do `CORSFilter` e o método `apply` do `CORSActionBuilder` utilizam o objeto estático `DefaultHttpErrorHandler` como valor padrão. **Recomendações** Para versões anteriores à 2.8.16, ao construir um `CORSFilter` ou `CORSActionBuilder`, certifique-se de que um manipulador de erros devidamente configurado seja passado. Geralmente, isso deve ser feito usando a instância `HttpErrorHandler` fornecida por meio de injeção de dependência ou por meio dos `BuiltInComponents` do Play. Certifique-se de que o aplicativo não esteja usando o objeto estático `DefaultHttpErrorHandler` em nenhum código que possa ser executado em produção. Atualize para o Play Framework 2.8.16, onde o objeto `DefaultHttpErrorHandler` foi alterado para usar o comportamento do modo de produção, e o `DevHttpErrorHandler` ha