CVE-2026-42202

Nome do Software Vulnerável e Versões Afetadas nova-toggle-5 versões anteriores a 1.3.0

Descrição O endpoint de alternância "POST /nova-vendor/nova-toggle/toggle/{resource}/{resourceId}" era protegido apenas pelos middlewares web e auth:. Isso permitia que qualquer usuário autenticado no guard configurado alterasse atributos booleanos em qualquer recurso do Nova, incluindo usuários sem acesso ao Nova. Além disso, o endpoint aceitava um parâmetro attribute arbitrário, permitindo que os usuários alternassem qualquer coluna booleana no modelo subjacente, independentemente de ela estar exposta como um campo Toggle no recurso.

Recomendações Atualize para a versão 1.3.0. Como medida paliativa temporária, remova o pacote ou restrinja o acesso às rotas "/nova-vendor/nova-toggle/toggle/*" usando um middleware adicional que aplique o gate viewNova.