Descoberta e escopo / O que mudou agora
Pesquisadores identificaram uma condição lógica defeituosa na função authorize() do provedor de credenciais do cal.com que faz com que a verificação de senha seja ignorada sempre que o campo de código TOTP contém qualquer valor. A falha recebeu o identificador CVE-2025-66489 e foi classificada como Critical (10.0/10) no relatório inicial. A vulnerabilidade afeta versões até a 5.9.7 e foi corrigida na versão 5.9.8.
Vetor e exploração / Mitigações
O problema decorre de uma implementação incorreta do fluxo de autenticação (CWE-303). Na prática, basta ao atacante enviar um valor não vazio no campo TOTP junto ao e-mail da vítima para que a etapa de verificação da senha seja pulada. Mesmo contas com 2FA habilitada ficam sujeitas a redução de proteção, porque a lógica passa a confiar apenas na presença de um campo TOTP em vez de validar ambos fatores.
Mitigação imediata informada pela fonte: atualizar para cal.com 5.9.8, que corrige a validação dos fatores. Além da atualização, recomenda-se revisar logs de autenticação em busca de padrões anômalos (tentativas com TOTP sempre presente), forçar troca de credenciais de contas administrativas e, quando possível, exigir políticas de 2FA que não dependam exclusivamente de campos enviados pelo cliente.
Impacto e alcance / Setores afetados
A plataforma cal.com é usada para gerenciar agendas, links de reunião e dados pessoais associados a calendários. A exploração pode dar acesso a convites, links privados e dados pessoais vinculados às contas comprometidas. O anúncio não quantifica o número de contas afetadas, mas descreve o vetor como de alto risco por permitir usurpação de sessão sem conhecimento da senha.
Limites das informações / O que falta saber
As publicações consultadas descrevem a lógica vulnerável e a correção disponibilizada, mas não trazem indicadores de comprometimento (IoCs) públicos nem relatórios de exploração ativa em massa. Não há, nas fontes citadas, informação sobre tentativas de uso em campanhas específicas ou sobre compromissos confirmados de dados de terceiros. Se sua organização usa cal.com hospedado por terceiros, é necessário confirmar com o provedor se a atualização foi aplicada.
Repercussão / Próximos passos
O relatório original e o advisory no GitHub (GHSA-9r3w-4j8q-pw98) foram citados como base da divulgação. A ação imediata é a atualização para 5.9.8 e a verificação de contas com atividades suspeitas. Operações de segurança devem priorizar detecção de autenticações anômalas e revisar integrações que armazenem tokens ou credenciais em variáveis de ambiente ou em serviços terceiros vinculados ao cal.com.
Notas finais
Os dados técnicos disponíveis nas fontes apontam para uma falha clara de implementação. A correção foi publicada pelo projeto; não há indicação pública, até o momento das matérias, de exploração em larga escala. Onde faltar contexto operacional (número de contas afetadas, campanhas ativas), a recomendação é tratar o incidente como de alto risco até confirmação em ambiente próprio.