CVE-2025-59347

Nome do Software Vulnerável e Versões Afetadas Versões do Dragonfly anteriores a 2.1.0

Descrição O Dragonfly, um sistema de distribuição de arquivos e aceleração de imagens baseado em P2P de código aberto, desativa a verificação de certificados TLS em seus clientes HTTP. Esses clientes não são configuráveis, impedindo os usuários de reativar a verificação. Um atacante pode executar um ataque Man-in-the-Middle, fornecendo dados inválidos ao Manager, levando ao pré-aquecimento com dados incorretos, resultando em negação de serviço e problemas de integridade de arquivos. O trecho de código vulnerável envolve a função getAuthToken e o TLSClientConfig dentro do http.Transport, onde InsecureSkipVerify está definido como true.

Recomendações Atualize para a versão 2.1.0 ou posterior.