Stefansundin

**Nome do software vulnerável e versões afetadas** Versões do MinIO anteriores à RELEASE.2024-05-27T19-17-46Z **Descrição** A vulnerabilidade diz respeito ao uso dos cabeçalhos `If-Modified-Since` e `If-Unmodified-Since` em solicitações anônimas, permitindo que um invasor determine se um objeto existe no servidor em um bucket específico e obtenha acesso a informações como os valores de metadados `Last-Modified`, `Etag`, `x-amz-version-id`, `Expires` e `Cache-Control`. Essa verificação condicional era respeitada antes da validação do acesso anônimo, levando a uma possível divulgação de informações. **Recomendações** Para versões do MinIO anteriores à RELEASE.2024-05-27T19-17-46Z: Atualize para a RELEASE.2024-05-27T19-17-46Z para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso anônimo aos metadados dos objetos para minimizar o risco de exploração. Evite usar os cabeçalhos `If-Modified-Since` e `If-Unmodified-Since` em solicitações anônimas até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Doorkeeper 5.0.0 a 5.0.2 Versões do Doorkeeper 5.1.0 a 5.1.0 Versões do Doorkeeper 5.2.0 a 5.2.4 Versões do Doorkeeper 5.3.0 a 5.3.1 **Descrição** A vulnerabilidade permite que um invasor obtenha o segredo do cliente destinado exclusivamente ao proprietário do aplicativo OAuth. Após autorizar o aplicativo e permitir o acesso, o invasor pode solicitar a lista de seus aplicativos autorizados no formato JSON, geralmente por meio do endpoint “GET /oauth/authorized applications.json”. Isso é possível se o controlador de aplicativos autorizados estiver habilitado, permitindo que o invasor visualize todos os valores dos atributos do modelo `Doorkeeper::Application`, incluindo segredos. **Recomendações** Para as versões 5.0.0 a 5.0.2 do Doorkeeper, atualize para a versão 5.0.3 ou posterior. Para as versões 5.1.0 a 5.1.0 do Doorkeeper, atualize para a versão 5.1.1 ou posterior. Para as versões 5.2.0 a 5.2.4 do Doorkeeper, atualize para a versão 5.2.5 ou posterior. Para as versões 5.3.0 a 5.3.1 do Doorkeeper, atualize para a versão 5.3.2 ou posterior. Como solução temporária, considere aplicar um patch no método `#as json(options = {})` do modelo `Doorkeeper::Application` para definir apenas os atributos que você deseja expor. Habilite o hash de segredos de aplicativos, disponível desde o Doorkeeper 5.1, para tornar o segredo exposto inutilizável.