4 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a authentication-bypass.
Uma vulnerabilidade no telnetd do GNU InetUtils permite bypass de autenticação remoto usando a variável USER com "-f root", concedendo acesso root sem autenticação. Versões 1.9.3 até 2.7 estão vulneráveis; mantenedores recomendam desabilitar telnetd, restringir acesso ou aplicar patches.
CVE‑2026‑23478 no Cal.com permite, via callback NextAuth JWT, que um atacante atualize session tokens e assuma qualquer conta. Versões afetadas >=3.1.6 e <6.0.7; patch disponível em 6.0.7.
Falha crítica (CVE-2025-66489) no fluxo de autenticação do cal.com permitia pular verificação de senha quando um campo TOTP recebesse qualquer valor. A falha afeta versões até 5.9.7; cal.com publicou patch na 5.9.8. Usuários devem atualizar imediatamente e revisar logs de autenticação.
Uma configuração padrão insegura no Vault Terraform Provider (v4.2.0–v5.4.0) permite bypass de autenticação via LDAP (CVE-2025-13357). HashiCorp publicou correções no provider (v5.5.0) e atualizações do Vault; equipes devem definir deny_null_bind=true e atualizar imediatamente.