Highjcoglan

**Nome do software vulnerável e versões afetadas** Faye (NPM, RubyGem) versões superiores a 0.5.0 e anteriores a 1.0.4 Faye (NPM, RubyGem) versões 1.1.x anteriores a 1.1.3 Faye (NPM, RubyGem) versões 1.2.x anteriores a 1.2.5 **Descrição** A vulnerabilidade permite que qualquer cliente contorne as verificações implementadas por extensões do lado do servidor, anexando segmentos extras ao canal de mensagens. Isso é causado por um bug no código do servidor responsável pelo reconhecimento de canais especiais `/meta/*`. Um cliente pode contornar as verificações de autenticação enviando uma mensagem para um canal cujo prefixo corresponda a um dos canais especiais, como `/meta/subscribe/x`. Essa mensagem ainda será processada como uma solicitação de assinatura pelo servidor, permitindo que o cliente se inscreva em um canal sem fornecer as credenciais necessárias. **Recomendações** Para versões do Faye (NPM, RubyGem) maiores que 0.5.0 e anteriores à 1.0.4, atualize para a versão 1.0.4 ou posterior. Para versões do Faye (NPM, RubyGem) 1.1.x anteriores à 1.1.3, atualize para a versão 1.1.3 ou posterior. Para versões do Faye (NPM, RubyGem) 1.2.x anteriores à 1.2.5, atualize para a versão 1.2.5 ou posterior. Como solução temporária, considere modificar as extensões para verificar se o canal de mensagens começa com o nome de canal esperado, em vez de correspondências exatas. Por exemplo, use `message.channel.startsWith(‘/meta/subscribe’)` em vez de `message.channel === ‘/meta/subscribe’`.