Stensrud

**Nome do software vulnerável e versões afetadas** Versões do NextAuth.js anteriores à 3.29.5 Versões do NextAuth.js anteriores à 4.5.0 **Descrição** Um invasor pode enviar uma solicitação a um aplicativo que utilize o NextAuth.js com um parâmetro de consulta `callbackUrl` inválido, que é convertido internamente em um objeto `URL`. A instanciação da URL falharia devido a uma URL malformada ser passada para o construtor, fazendo com que ele lançasse um erro não tratado, o que levava ao tempo limite do manipulador de rota da API e à falha no login. **Recomendações** Para versões do NextAuth.js anteriores à 3.29.5, atualize para a versão 3.29.5 ou posterior. Para versões do NextAuth.js anteriores à 4.5.0, atualize para a versão 4.5.0 ou posterior. Como solução alternativa temporária, considere usar a Inicialização Avançada para validar o parâmetro de consulta `callbackUrl` antes de passá-lo para a API do NextAuth.js. Por exemplo, você pode adicionar uma função de validação para verificar se o `callbackUrl` é uma URL HTTP válida antes de chamar a API do NextAuth.js.