Marji-Workos

**Nome do Software Vulnerável e Versões Afetadas** @workos-inc/authkit-react-router versões 0.6.1 e inferiores **Descrição** A biblioteca AuthKit para React Router expõe artefatos sensíveis de autenticação – especificamente `sealedSession` e `accessToken` – ao retorná-los a partir do `authkitLoader`, o que faz com que sejam renderizados no HTML do navegador. Esta divulgação de informações pode levar ao sequestro de sessão em ambientes onde seja possível a execução de cross-site scripting (XSS), o uso de extensões maliciosas do navegador ou a inspeção local. **Recomendações** Atualize para a versão 0.7.0 ou posterior. Nas versões corrigidas, `sealedSession` e `accessToken` não são mais retornados por padrão a partir do `authkitLoader`. Um mecanismo seguro no lado do servidor é fornecido para obter um token de acesso conforme necessário.

**Nome do software vulnerável e versões afetadas** Biblioteca AuthKit para versões do Remix anteriores à 0.4.1 **Descrição** O problema diz respeito ao registro de tokens de atualização no console quando o sinalizador `debug` está ativado. Esse sinalizador vem desativado por padrão. Não há soluções alternativas conhecidas para esse problema. Recomenda-se que todos os usuários atualizem para uma versão corrigida. **Recomendações** Para versões anteriores à 0.4.1, atualize para a versão 0.4.1 para resolver o problema. Como solução alternativa temporária, considere desativar o sinalizador `debug` até que a atualização seja aplicada.