Rustyguts

**Nome do software vulnerável e versões afetadas** Versões do next-auth de 3.0.0 a 3.29.1 Versões do next-auth de 4.0.0 a 4.3.1 **Descrição** O problema afeta os usuários do next-auth, sendo impactadas as versões 3 anteriores à 3.29.2 e as versões 4 anteriores à 4.3.2. Para resolver o problema, a atualização para a versão 3.29.2 ou 4.3.2 corrigirá a vulnerabilidade. Se a atualização não for possível, adicionar uma configuração à opção `callbacks` pode mitigar o problema. Para usuários com um callback `redirect` existente, é essencial comparar a origem da `url` recebida com a `baseUrl` para evitar exploração. **Recomendações** Para as versões 3.0.0 a 3.29.1 do next-auth, atualize para a versão 3.29.2 para corrigir a vulnerabilidade. Para as versões 4.0.0 a 4.3.1 do next-auth, atualize para a versão 4.3.2 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere adicionar uma configuração à opção `callbacks` para validar a origem da `url` em relação à `baseUrl`. Se você já tiver um callback `redirect`, modifique-o para comparar a origem da `url` recebida com a `baseUrl`, usando uma função semelhante a: ```js async redirect({ url, baseUrl }) { if (url.startsWith(“/”)) return new URL(url, baseUrl).toString() else if (new URL(url).origin === baseUrl) return url return baseUrl } ```