Uma Assembleia Legislativa disponibiliza uma API REST para c...
GET /api/documentos/(documentIP} Authorization: Bearer <JWT>
Durante testes de segurança, foi identificado que usuários autenticados conseguem acessar documentos de outros gabinetes simplesmente alterando o valor de (documentId} na URL, sem qualquer validação adicional no backend.
Considerando o cenário descrito e as boas práticas de segurança da OWASP API Security Top 10 (2023), é possível concluir que se trata de uma vulnerabilidade