Senha hardcoded para criacao de tenant no microservico CargaAdicional

P-09

CriticalAchado ConfirmadoSegurancaRodada 2

Descricao

Metodo CreateTenant em CargaAdicionalService contem adminPassword = "1q2w3E*" hardcoded. Codigo presente e registrado no DI, embora handler esteja comentado.

Evidencia

`CargaAdicionalService.cs` linha 213 (aproximado) — metodo `CreateTenant` com `adminPassword = "1q2w3E*"` hardcoded.

Impacto Tecnico

Se reativado, qualquer novo tenant do CargaAdicional seria criado com senha conhecida.

Impacto de Negocio

Risco de comprometimento sistemico dado que 1q2w3E* e usada em multiplos contextos.

Recomendacao

Remover o metodo ou substituir senha hardcoded por parametro via Kubernetes Secret.

Arquivos Afetados

aspnet-core/src/cargo_fleet.Application/CargasAdicionais/CargaAdicionalService.cs

Achados Relacionados

{
  "id": "P-09",
  "title": "Senha hardcoded para criacao de tenant no microservico CargaAdicional",
  "severity": "Critical",
  "type": "achado confirmado",
  "category": "security",
  "description": "Metodo `CreateTenant` em `CargaAdicionalService` contem `adminPassword = \"1q2w3E*\"` hardcoded. Codigo presente e registrado no DI, embora handler esteja comentado.",
  "evidence": "`CargaAdicionalService.cs` linha 213 (aproximado) — metodo `CreateTenant` com `adminPassword = \"1q2w3E*\"` hardcoded.",
  "technicalImpact": "Se reativado, qualquer novo tenant do CargaAdicional seria criado com senha conhecida.",
  "businessImpact": "Risco de comprometimento sistemico dado que `1q2w3E*` e usada em multiplos contextos.",
  "recommendation": "Remover o metodo ou substituir senha hardcoded por parametro via Kubernetes Secret.",
  "files": [
    "aspnet-core/src/cargo_fleet.Application/CargasAdicionais/CargaAdicionalService.cs"
  ],
  "pass": 2,
  "relatedFindings": [
    "CRIT-03",
    "MED-09"
  ]
}

Senha hardcoded para criacao de tenant no microservico CargaAdicional

Descricao

Arquivos Afetados

Achados Relacionados

Texto Original