CVE-2020-28482

**Nome do software vulnerável e versões afetadas:

versões do fastify-csrf anteriores à 3.0.0

Descrição:

A vulnerabilidade afeta o pacote fastify-csrf, no qual o cookie gerado utiliza configurações padrão inseguras e não possui o sinalizador httpOnly, conforme observado em cookieOpts: { path: ‘/’, sameSite: true }. Além disso, o token CSRF está disponível no parâmetro de consulta GET. Esse conjunto de problemas compromete a capacidade do pacote de fornecer proteção contra CSRF.

Recomendações:

Para versões anteriores à 3.0.0, atualize para a versão 3.0.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere definir o sinalizador httpOnly no cookie e restringir o acesso ao token CSRF no parâmetro de consulta GET.