CVE-2021-27228

**Nome do software vulnerável e versões afetadas:

Shinobi through ocean versão 1

Descrição:

Foi detectada uma falha no arquivo lib/auth.js, na qual um controle de acesso incorreto permite que invasores contornem a validação da chave de API. Ao utilizar nomes de métodos Proto do JavaScript, como constructor ou hasOwnProperty, um invasor pode enganar o sistema, fazendo-o acreditar que uma chave de API fornecida é válida, obtendo assim acesso completo às funções de API do Usuário, Administrador e Super. Isso pode ser feito por meio de pontos de extremidade da API como “/super/constructor/accounts/list”.

Recomendações:

Para o Shinobi até a versão 1 do Ocean, considere restringir o acesso ao arquivo lib/auth.js e limitar o uso de nomes de métodos Proto do JavaScript para impedir a exploração até que uma correção adequada seja implementada. Como solução alternativa temporária, restrinja o acesso a pontos de extremidade de API confidenciais, como “/super/constructor/accounts/list”, para minimizar o risco de acesso não autorizado.