CVE-2022-31069

Versões do @finastra/nestjs-proxy anteriores à 0.7.0

@ffdc/nestjs-proxy (versões afetadas não especificadas)

A biblioteca nestjs-proxy não possuía um mecanismo para controlar quando os cabeçalhos de autorização deveriam ser encaminhados para serviços de back-end específicos configurados pelo desenvolvedor da aplicação. Isso poderia ter resultado na exposição inadvertida de informações confidenciais, como tokens de acesso OAuth bearer, a serviços que não deveriam ter acesso a elas. Um novo recurso foi introduzido na versão corrigida do nestjs-proxy que permite aos desenvolvedores de aplicativos desativar o encaminhamento dos cabeçalhos de autorização por serviço, usando a configuração forwardToken.

Para versões do @finastra/nestjs-proxy anteriores à 0.7.0, atualize para a versão 0.7.0 para corrigir o problema.

Para usuários do @ffdc/nestjs-proxy, atualize o arquivo package.json para usar o @finastra/nestjs-proxy, já que o @ffdc/nestjs-proxy está obsoleto e não é mais mantido.

Como solução temporária, considere configurar a opção forwardToken para desativar o encaminhamento de cabeçalhos de autorização para serviços confidenciais até que a atualização seja aplicada.