CVE-2026-42869

Nome do Software Vulnerável e Versões Afetadas SOCFortress CoPilot versões anteriores a 0.1.57

Descrição O aplicativo contém um segredo de assinatura JSON Web Token (JWT) codificado no código (hardcoded) usado como valor de fallback no arquivo backend/app/auth/utils.py e no arquivo .env.example. Em implantações onde a variável JWT SECRET não é configurada explicitamente, como na configuração padrão do Docker Compose, o sistema utiliza esse valor publicamente conhecido para assinar tokens de autenticação. Isso permite que um invasor não autenticado forje tokens com privilégios de administrador e obtenha controle total sobre a aplicação e as ferramentas de segurança gerenciadas por ela.

Recomendações Atualizar para a versão 0.1.57. Configurar explicitamente a variável JWT SECRET nas configurações de ambiente para substituir o valor de fallback padrão.