CVE-2024-57432

Nome do Software Vulnerável e Versões Afetadas macrozheng mall-tiny versão 1.0.1

Descrição O problema envolve permissões inseguras na aplicação. Especificamente, as chaves de assinatura JWT estão embutidas no código e não são alteradas. As informações do usuário são explicitamente gravadas no JWT e utilizadas para o gerenciamento de privilégios subsequente. Isso possibilita a falsificação do JWT de qualquer usuário, permitindo o bypass de autenticação.

Recomendações Para o macrozheng mall-tiny versão 1.0.1, considere regenerar e armazenar com segurança as chaves de assinatura JWT para prevenir acesso não autorizado. Como solução temporária, restrinja o uso de informações do usuário no JWT para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.