Ins0

**Nome do software vulnerável e versões afetadas: Shinobi through ocean versão 1 Descrição: Foi detectada uma falha no arquivo lib/auth.js, na qual um controle de acesso incorreto permite que invasores contornem a validação da chave de API. Ao utilizar nomes de métodos Proto do JavaScript, como `constructor` ou `hasOwnProperty`, um invasor pode enganar o sistema, fazendo-o acreditar que uma chave de API fornecida é válida, obtendo assim acesso completo às funções de API do Usuário, Administrador e Super. Isso pode ser feito por meio de pontos de extremidade da API como “/super/constructor/accounts/list”. Recomendações: Para o Shinobi até a versão 1 do Ocean, considere restringir o acesso ao arquivo `lib/auth.js` e limitar o uso de nomes de métodos Proto do JavaScript para impedir a exploração até que uma correção adequada seja implementada. Como solução alternativa temporária, restrinja o acesso a pontos de extremidade de API confidenciais, como “/super/constructor/accounts/list”, para minimizar o risco de acesso não autorizado.