Sandiipmaity

**Nome do software vulnerável e versões afetadas** Versões do NextAuth.js anteriores à 3.29.8 Versões do NextAuth.js anteriores à 4.9.0 **Descrição** Um invasor pode enviar uma entrada comprometida para o endpoint de login por e-mail contendo HTML malicioso, enganando o servidor de e-mail para que ele a envie ao usuário, permitindo assim a realização de um ataque de phishing. Por exemplo, um invasor pode enviar um e-mail com um link para seu site, que será renderizado no HTML. Esta vulnerabilidade foi corrigida nas versões a seguir, de forma que o e-mail não seja mais renderizado no HTML. O parâmetro `email` vulnerável é passado para `sendVerificationRequest` e renderizado no HTML. Se um `sendVerificationRequest` personalizado for criado, é necessário excluir `email` do corpo do HTML ou sanitizá-lo de forma eficiente. **Recomendações** Para versões do NextAuth.js anteriores à 3.29.8, atualize para a versão 3.29.8 ou posterior. Para versões do NextAuth.js anteriores à 4.9.0, atualize para a versão 4.9.0 ou posterior. Como solução temporária, considere sanitizar o parâmetro `email` que é passado para `sendVerificationRequest` e renderizado no HTML. Se um `sendVerificationRequest` personalizado for criado, certifique-se de excluir `email` do corpo do HTML ou sanitizá-lo de forma eficiente.