CVE-2025-49591

Nome do Software Vulnerável e Versões Afetadas Versões do CryptPad anteriores à 2025.3.0

Descrição O problema envolve uma implementação fraca de controles de acesso no CryptPad, permitindo que um invasor que comprometa as credenciais de um usuário obtenha acesso à conta da vítima, mesmo que esta tenha a Autenticação de Dois Fatores (2FA) configurada. Isso ocorre porque a 2FA não é exigida se o parâmetro de caminho não tiver 44 caracteres de comprimento, o que pode ser contornado mediante a codificação URL de um único caractere no caminho.

Recomendações Para versões anteriores à 2025.3.0, atualize para a versão 2025.3.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a áreas sensíveis da aplicação para minimizar o risco de exploração. Evite utilizar caminhos com codificação URL nos endpoints de API afetados até que o problema seja resolvido.