CVE-2026-44523

Nome do Software Vulnerável e Versões Afetadas note-mark (versões afetadas não especificadas)

Descrição O aplicativo não impõe um comprimento mínimo ou entropia para o valor de configuração JWT SECRET, aceitando qualquer segredo decodificável em base64, independentemente do tamanho. Em backend/config/utils.go, a função Base64Decoded.UnmarshalText() decodifica o segredo sem validar seu comprimento. Além disso, em backend/core/auth.go, os tokens são assinados usando HS256 sem requisitos de tamanho mínimo de chave. Segredos com menos de 32 bytes estão suscetíveis a ataques de força bruta offline, o que permite que um invasor recupere a chave de assinatura e forje JSON Web Tokens (JWT) válidos para qualquer usuário, incluindo administradores, resultando em assumição total de conta.

Recomendações Impor um mínimo de 32 bytes (256 bits) para segredos JWT após a decodificação base64. Rejeitar segredos fracos durante a análise de configuração na função Base64Decoded.UnmarshalText() ou durante a validação da configuração.