Manics

**Nome do software vulnerável e versões afetadas** Versões do oauthenticator anteriores à 16.3.0 **Descrição** O problema está relacionado ao parâmetro `GoogleOAuthenticator.hosted domain`, que tem como objetivo restringir o acesso a contas do Google que façam parte de uma ou mais organizações do Google verificadas como responsáveis pelo controle de domínios específicos. No entanto, antes da versão 16.3.0, a restrição efetiva era aplicada a contas do Google com e-mails terminados no domínio, permitindo que contas criadas por qualquer pessoa capaz de ler um e-mail associado ao domínio acessassem o sistema. Isso foi descrito por Dylan Ayrey em uma postagem de blog de 15 de dezembro de 2023. O OAuthenticator 16.3.0 contém uma correção para esse problema. **Recomendações** Para versões anteriores à 16.3.0, atualize para a versão 16.3.0 ou posterior do oauthenticator. Como solução alternativa temporária, restrinja quem pode fazer login de outra forma, como usando `allowed users` ou `allowed google groups`.