Mathys Reboux

**Nome do software vulnerável e versões afetadas** cookie-encrypter versão 1.0.1 **Descrição** O problema está relacionado a uma falha no método de criptografia utilizado, permitindo que invasores executem um ataque de inversão de bits, especificamente um ataque AES CBC de inversão de bits, explorando a função `decryptCookie` no arquivo `index.js`. Isso permite que invasores editem cookies criptografados sem descriptografá-los, utilizando o vetor de inicialização (IV) visível publicamente. **Recomendações** Para o cookie-encrypter versão 1.0.1, considere desativar a função `decryptCookie` em `index.js` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à função `decryptCookie` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.