CVE-2026-8890

Nome do Software Vulnerável e Versões Afetadas code100x (versões afetadas não especificadas)

Descrição Existe uma falha de bypass de autenticação na API Móvel. Atacantes não autenticados podem personificar usuários arbitrários ao fornecer um payload JSON manipulado no cabeçalho HTTP 'g'. Isso ocorre porque o middleware em middleware.ts ignora a geração do cabeçalho de identidade quando um cabeçalho Auth-Key está presente sem validar seu valor. Consequentemente, atacantes podem injetar um cabeçalho de identidade de usuário falsificado que o manipulador de rota downstream no endpoint de cursos móveis aceita como confiável, concedendo acesso não autorizado a dados de cursos de administradores ou usuários matriculados.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.