Mohzubiri

**Name of the Vulnerable Software and Affected Versions** Laravel Passport versões 13.0.0 até 13.7.0 **Description** Laravel Passport, que fornece suporte ao servidor OAuth2 para Laravel, contém uma falha de bypass de autenticação para tokens `client credentials`. A biblioteca `league/oauth2-server` define a declaração JWT `sub` para o identificador do cliente. O guardião de token então usa este valor com a função `retrieveById()` sem verificar se corresponde a um identificador de usuário, autenticando potencialmente como um usuário real. Isso permite que qualquer token de máquina para máquina se autentique como um usuário. **Recommendations** Atualize para a versão 13.7.1 ou posterior do Laravel Passport.