CVE-2020-36569

**Nome do software vulnerável e versões afetadas:

Versões do golang-nanoauth de v0.0.0-20160722212129-ac0cc4484ad4 a v0.0.0-20200131131040-063a3fb69896

Descrição:

A vulnerabilidade diz respeito a uma contornamento global da autenticação na biblioteca golang-nanoauth. Quando a função ListenAndServe é chamada com um token vazio, a autenticação por token é desativada globalmente para todos os ouvintes. Além disso, existe um canal lateral de temporização menor, que poderia permitir que invasores com baixa latência e capacidade de fazer muitas solicitações recuperassem potencialmente o token.

Recomendações:

Para as versões do golang-nanoauth v0.0.0-20160722212129-ac0cc4484ad4 a v0.0.0-20200131131040-063a3fb69896, considere desativar a função ListenAndServe quando um token vazio for fornecido até que um patch esteja disponível. Restrinja o acesso à função ListenAndServe para minimizar o risco de exploração. Evite chamar ListenAndServe com um token vazio no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.