CVE-2025-21617

Nome do Software Vulnerável e Versões Afetadas Versões do Guzzle OAuth Subscriber anteriores à 0.8.1

Descrição A questão refere-se ao Guzzle OAuth Subscriber, que assina requisições do Guzzle utilizando OAuth 1.0. Antes da versão 0.8.1, a geração de Nonce não utiliza entropia suficiente nem uma fonte pseudoaleatória criptograficamente segura. Isso pode deixar servidores vulneráveis a ataques de replay quando o TLS não é utilizado.

Recomendações Para versões anteriores à 0.8.1, atualize para a versão 0.8.1 ou superior para resolver a questão. Como medida temporária, considere utilizar TLS para criptografar as comunicações e minimizar o risco de ataques de replay. Restrinja o acesso a recursos sensíveis quando o TLS não puder ser utilizado, a fim de reduzir o impacto potencial de um ataque de replay.