Ldaley

**Nome do software vulnerável e versões afetadas: Versões do Ratpack anteriores à 1.9.0 Descrição: O módulo de sessão do lado do cliente no Ratpack utiliza, por padrão, a hora de inicialização do aplicativo como chave de assinatura. Se um invasor conseguir determinar essa hora e não houver criptografia, os dados da sessão poderão ser adulterados por alguém com capacidade de gravar cookies. A configuração padrão não é adequada para uso em produção, pois a reinicialização do aplicativo invalida todas as sessões e não é compatível com múltiplos hosts. Recomendações: Para versões anteriores à 1.9.0, forneça uma chave de assinatura alternativa, conforme a recomendação da documentação. Para versões anteriores à 1.9.0, considere atualizar para o Ratpack 1.9.0 ou posterior, que utiliza um valor gerado aleatoriamente de forma segura como chave de assinatura padrão.

**Nome do software vulnerável e versões afetadas: Versões do Ratpack anteriores à 1.9.0 Descrição: A configuração padrão das sessões do lado do cliente no Ratpack faz com que dados não criptografados, mas assinados, sejam definidos como valores de cookies. Isso poderia permitir que dados confidenciais fossem lidos por qualquer entidade com acesso aos cookies, caso esses dados fossem armazenados na sessão e o cookie da sessão fosse divulgado. Por exemplo, isso poderia ocorrer se os cookies não estiverem configurados com httpOnly e uma vulnerabilidade XSS adjacente no site permitir a captura dos cookies. Recomendações: Para versões anteriores à 1.9.0, forneça uma chave de criptografia conforme a recomendação da documentação para mitigar o problema. A partir da versão 1.9.0, é utilizada uma chave de assinatura gerada aleatoriamente de forma segura, o que resolve o problema.