Robertonegro

**Nome do Software Vulnerável e Versões Afetadas** nova-toggle-5 versões anteriores a 1.3.0 **Descrição** O endpoint de alternância "POST /nova-vendor/nova-toggle/toggle/{resource}/{resourceId}" era protegido apenas pelos middlewares web e auth:<guard>. Isso permitia que qualquer usuário autenticado no guard configurado alterasse atributos booleanos em qualquer recurso do Nova, incluindo usuários sem acesso ao Nova. Além disso, o endpoint aceitava um parâmetro `attribute` arbitrário, permitindo que os usuários alternassem qualquer coluna booleana no modelo subjacente, independentemente de ela estar exposta como um campo Toggle no recurso. **Recomendações** Atualize para a versão 1.3.0. Como medida paliativa temporária, remova o pacote ou restrinja o acesso às rotas "/nova-vendor/nova-toggle/toggle/*" usando um middleware adicional que aplique o gate `viewNova`.