Kenkunz

**Nome do Software Vulnerável e Versões Afetadas** @workos/authkit-session versões anteriores a 0.5.1 **Descrição** Um problema de redirecionamento aberto existe na função `handleCallback()` do `AuthService` devido à validação insuficiente do valor `returnPathname` derivado do parâmetro `state` do OAuth. O parâmetro `state` passa pelo provedor de identidade (IdP) e pode ser influenciado por um invasor. A função `handleCallback()` decodifica e retorna o `returnPathname` sem impor restrições de origem ou esquema, permitindo que valores controlados por invasores sejam retornados à aplicação. Se este valor for usado diretamente em um redirecionamento, os usuários podem ser enviados para um site externo controlado por um invasor, o que pode facilitar ataques de phishing ou engenharia social ao aproveitar a confiança do domínio de origem. **Recomendações** Atualizar para a versão 0.5.1.