Skip to content

Prevent user enumeration on password reset#676

Closed
TalysonSoares wants to merge 4 commits intosecultce:ecossistema-aurora-mainfrom
ecossistema-aurora:fix/security-password-reset
Closed

Prevent user enumeration on password reset#676
TalysonSoares wants to merge 4 commits intosecultce:ecossistema-aurora-mainfrom
ecossistema-aurora:fix/security-password-reset

Conversation

@TalysonSoares
Copy link
Member

@TalysonSoares TalysonSoares commented Oct 20, 2025
edited
Loading

Q A
Branch? fix/security-password-reset
Bug fix? yes
New feature? no
Deprecations? no
Issues Fix #...

Este PR corrige uma falha de segurança que permitia a enumeração de usuários.

Anteriormente, o sistema retornava respostas diferentes para e-mails existentes e não existentes, permitindo que um atacante descobrisse quais usuários estão registrados.

Se o e-mail não estivesse cadastrado, o usuário era redirecionado para a home sem mostrar a mensagem.

A correção garante que a resposta seja sempre a mesma, exibindo a mensagem "Link de recuperação enviado ao e-mail!" e redirecionando o usuário, independentemente de o e-mail ter sido encontrado ou não.

@TalysonSoares TalysonSoares self-assigned this Oct 20, 2025
@TalysonSoares TalysonSoares force-pushed the fix/security-password-reset branch from f2ab993 to 8e40159 Compare October 20, 2025 18:13
@TalysonSoares TalysonSoares changed the base branch from main to ecossistema-aurora-main October 20, 2025 18:15
@TalysonSoares TalysonSoares deleted the fix/security-password-reset branch October 20, 2025 18:22
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

@TalysonSoares TalysonSoares

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

3 participants

@TalysonSoares @ronnyjohnti @alessandrofeitoza