Shupink

**Nome do software vulnerável e versões afetadas** Versões do next-auth anteriores à v4.10.2 Versões do next-auth anteriores à v3.29.9 **Descrição** Um problema de divulgação de informações permite que um invasor com privilégios de acesso ao log obtenha informações excessivas, como o segredo de um provedor de identidade no log, que é gerado durante o tratamento de erros do OAuth. Isso pode ser usado para realizar ataques adicionais ao sistema, como se passar pelo cliente para solicitar permissões abrangentes. O problema foi corrigido movendo o log de informações do provedor para o nível de depuração, e foi adicionado um aviso para que a opção de depuração não seja ativada em ambiente de produção. **Recomendações** Para versões anteriores à v4.10.2 e v3.29.9, atualize para a v4.10.2 ou v3.29.9 para corrigir a vulnerabilidade. Se a atualização não for possível, use a opção de configuração do logger para sanitizar os logs e evitar a divulgação de informações. Considere definir debug: process.env.NODE ENV !== “production” para permitir a depuração apenas quando não estiver em produção. Defina a opção do logger com a sanitização adequada de informações potencialmente confidenciais do usuário, caso seja necessário registrar mensagens de depuração durante a produção.