Robertfiko

**Nome do software vulnerável e versões afetadas** Versões do oidcc anteriores à 3.0.2 Versões do oidcc anteriores à 3.1.2 Versões do oidcc anteriores à 3.2.0-beta.3 **Descrição** É possível ocorrer um ataque de Negação de Serviço (DoS) por esgotamento de Atoms ao chamar `oidcc provider configuration worker:get provider configuration/1` ou `oidcc provider configuration worker:get jwks/1`. É improvável que essa vulnerabilidade seja explorada, uma vez que o nome é normalmente fornecido como um valor estático na aplicação que utiliza o `oidcc`. A vulnerabilidade está presente em `oidcc provider configuration worker:get ets table name/1`, onde a função `get ets table name` chama `erlang:list to atom/1`. Existe um caso altamente improvável em que o segundo argumento de `oidcc provider configuration worker:get */1` é chamado com um átomo diferente a cada vez, levando ao esgotamento da tabela de átomos e à falha do nó. **Recomendações** Para versões do oidcc anteriores à 3.0.2, atualize para a versão 3.0.2 ou posterior. Para versões do oidcc anteriores à 3.1.2, atualize para a versão 3.1.2 ou posterior. Para versões do oidcc anteriores à 3.2.0-beta.3, atualize para a versão 3.2.0-beta.3 ou posterior. Como solução temporária, certifique-se de que apenas nomes válidos de workers de configuração de provedor sejam passados para as funções `oidcc provider configuration worker:get provider configuration/1` e `oidcc provider configuration worker:get jwks/1`.