CVE-2022-31186

Versões do next-auth anteriores à v4.10.2

Versões do next-auth anteriores à v3.29.9

Um problema de divulgação de informações permite que um invasor com privilégios de acesso ao log obtenha informações excessivas, como o segredo de um provedor de identidade no log, que é gerado durante o tratamento de erros do OAuth. Isso pode ser usado para realizar ataques adicionais ao sistema, como se passar pelo cliente para solicitar permissões abrangentes. O problema foi corrigido movendo o log de informações do provedor para o nível de depuração, e foi adicionado um aviso para que a opção de depuração não seja ativada em ambiente de produção.

Para versões anteriores à v4.10.2 e v3.29.9, atualize para a v4.10.2 ou v3.29.9 para corrigir a vulnerabilidade.

Se a atualização não for possível, use a opção de configuração do logger para sanitizar os logs e evitar a divulgação de informações.

Considere definir debug: process.env.NODE ENV !== “production” para permitir a depuração apenas quando não estiver em produção.

Defina a opção do logger com a sanitização adequada de informações potencialmente confidenciais do usuário, caso seja necessário registrar mensagens de depuração durante a produção.