Superior126

**Nome do software vulnerável e versões afetadas** Versões do Lif Authentication Server anteriores à 1.7.3 **Descrição** O problema está relacionado ao sistema de recuperação de conta do Lif Authentication Server, no qual não há verificação para garantir que o usuário tenha recebido o e-mail de recuperação e inserido o código correto. Um invasor que conheça o e-mail do alvo pode fornecer o endereço e fazer com que o servidor atualize a senha sem a necessidade do código. **Recomendações** Para versões anteriores à 1.7.3, atualize para a versão 1.7.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao sistema de recuperação de conta até que o patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do servidor Ringer anteriores à 1.3.1 **Descrição** O problema diz respeito à rota de carregamento de mensagens no servidor Ringer, onde não é verificado se o usuário que está carregando uma conversa é, de fato, membro dessa conversa. Isso permite que qualquer usuário com uma conta Lif carregue qualquer conversa entre dois usuários sem permissão. O problema foi resolvido na versão 1.3.1. **Recomendações** Para versões anteriores à 1.3.1, atualize para a versão 1.3.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à rota de carregamento de mensagens até que o patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Lif Auth Server anteriores à 1.4.0 **Descrição** O problema está relacionado às rotas `get pfp` e `get banner` no Auth Server, onde não há verificação para garantir que o arquivo recebido por meio dessas URLs esteja correto. Isso poderia permitir que um invasor acessasse arquivos aos quais não deveria ter acesso. **Recomendações** Para versões anteriores à 1.4.0, atualize para a versão 1.4.0 para resolver o problema. Como solução temporária, considere restringir o acesso às rotas `get pfp` e `get banner` até que a atualização seja aplicada.