Como referencia inicial, apenas a ultima versao publicada recebe correcao de seguranca.
Para reportar vulnerabilidade:
- Nao abra issue publica.
- Envie detalhes tecnicos por canal privado do mantenedor.
- Inclua passos de reproducao, impacto e sugestao de mitigacao (se houver).
- Confirmacao de recebimento: ate 72 horas.
- Analise inicial: ate 7 dias.
- Correcao e publicacao: conforme severidade e risco de exploracao.
- Nunca exponha segredos no repositorio.
- Revise validacoes de entrada para rotas e multipart.
- Mantenha dependencias atualizadas.