CVE-2024-8135

Nome do software vulnerável e versões afetadas:

Go-Tribe gotribe até cd3ccd32cd77852c9ea73f986eaf8c301cfb6310

Descrição:

Foi identificada uma vulnerabilidade crítica no Go-Tribe gotribe. O problema afeta a função Sign do arquivo pkg/token/token.go. A manipulação do argumento config.key leva à exposição de credenciais hard-coded. O produto utiliza entrega contínua com lançamentos contínuos, portanto, não há detalhes de versão disponíveis para as versões afetadas ou atualizadas.

Recomendações:

Para corrigir este problema, recomenda-se aplicar um patch identificado como 4fb9b9e80a2beedd09d9fde4b9cf5bd510baf18f. Como solução alternativa temporária, considere desativar a função Sign até que um patch esteja disponível. Restrinja o acesso ao arquivo pkg/token/token.go para minimizar o risco de exploração. Evite usar o argumento config.key na função afetada até que o problema seja resolvido.