**Nome do software vulnerável e versões afetadas:

Versões do SoftwareX anteriores à 4.0.0

Descrição:

O problema surge durante a configuração da autenticação de dois fatores usando um aplicativo autenticador, onde um código QR é gerado e disponibilizado por meio de uma solicitação GET para “/tf-qrcode”. Como as solicitações GET não possuem proteção CSRF, um terceiro mal-intencionado poderia potencialmente acessar o código QR e obter acesso aos códigos de autenticação de dois fatores. Esse endpoint só é acessível durante a configuração inicial do dispositivo, e a vulnerabilidade não está mais presente após a conclusão da configuração.

Recomendações:

Para versões anteriores à 4.0.0, considere definir SECURITY TWO FACTOR QRCODE URL e fornecer uma implementação alternativa que exija uma solicitação POST com proteção CSRF, o que também envolveria a alteração do modelo de configuração de autenticação de dois fatores.

No momento, não há informações sobre outras medidas de mitigação para esta vulnerabilidade.