Robertboes

Nome do software vulnerável e versões afetadas: Versões do Laravel Reverb anteriores à 1.4.0 Descrição: O problema está relacionado a assinaturas de verificação não validadas para solicitações enviadas à API compatível com o Pusher do Reverb. Essa API é usada em cenários como a transmissão de mensagens ou a obtenção de informações estatísticas sobre canais. A vulnerabilidade afeta apenas os pontos de extremidade da API compatível com o Pusher, não as conexões WebSocket em si. Para explorar isso, um invasor precisaria saber o ID do aplicativo, que nunca deve ser exposto. Os pontos de extremidade da API afetados incluem `POST /events`, `POST /events batch`, `GET /connections`, `GET /channels`, `GET /channel`, `GET /channel users` e `POST /users terminate`. Recomendações: Para versões anteriores à 1.4.0, atualize para a versão 1.4.0 para resolver o problema. Como solução temporária, considere restringir o acesso aos pontos de extremidade da API compatíveis com o Pusher até que a atualização seja aplicada. Além disso, certifique-se de que o ID do aplicativo não seja exposto para evitar possíveis explorações.