Songgao

**Nome do Software Vulnerável e Versões Afetadas** Versões do Lego 4.25.1 e inferiores **Descrição** O pacote `github.com/go-acme/lego/v4/acme/api`, e consequentemente a biblioteca Lego e a interface de linha de comando, não impõem o uso de HTTPS ao se comunicar com Autoridades de Certificação (ACs) como um cliente ACME. O protocolo ACME exige HTTPS para a comunicação entre cliente e AC, mas a biblioteca falha em impor esse requisito tanto para a URL de descoberta inicial quanto para endereços subsequentes fornecidos pelas ACs. Isso pode levar a comprometimentos de privacidade, pois detalhes de solicitações e respostas, incluindo identificadores de conta e de solicitação, podem ser expostos a atacantes de rede se URLs HTTP forem usadas ou se as ACs configurarem incorretamente seus endpoints. **Recomendações** Versões do Lego anteriores à 4.25.2 são afetadas. Atualize para a versão 4.25.2 ou posterior para resolver este problema.