CVE-2024-35232

github.com/huandu/facebook versões anteriores à 2.7.2

O problema diz respeito à exposição do access token em mensagens de erro quando as solicitações HTTP falham. Isso pode ocorrer quando o módulo envia solicitações HTTP com um parâmetro de consulta ?access token=... e a solicitação falha, resultando em uma mensagem de erro que pode conter a URL completa, incluindo o access token. Isso poderia levar ao armazenamento do access token em servidores de log ou outras infraestruturas, caso os aplicativos registrem mensagens de erro. O problema pode afetar aplicativos clientes que registram mensagens de erro do módulo, retornam mensagens de erro aos clientes ou utilizam mensagens de erro em outros locais.

Para versões do github.com/huandu/facebook anteriores à 2.7.2, atualize para a versão 2.7.2 para resolver o problema. Como solução alternativa temporária, considere modificar o tratamento de erros para excluir informações confidenciais, como access token, das mensagens de erro. Restrinja o acesso aos logs de erros e certifique-se de que as mensagens de erro não sejam retornadas aos clientes nem utilizadas de forma que possam expor informações confidenciais.