Como o 'Fortalecimento da Criptografia' Quebrou a Autenticação: FreshRSS e o Limite de 72 Bytes do bcrypt

A CVE-2025-68402 revela um bypass de autenticação na branch edge do FreshRSS . A vulnerabilidade surgiu de uma alteração no nonce de login, que passou de uma string hexadecimal SHA-1 de 40 caracteres para uma SHA-256 de 64 caracteres. Essa mudança, combinada com o limite de entrada de 72 bytes do bcrypt ️, resultou em dados dependentes da senha sendo truncados. Consequentemente, a função password_verify() retornava 'true' para qualquer senha até que a ordem de concatenação fosse corrigida .