| #02 | Crítico | ATO completo — verify-email envia código para o e-mail do atacante | POST /api/auth/verify-email |
| #03 | Crítico | verify-phone envia código para o celular do atacante | POST /api/auth/verify-phone |
| #04 | Crítico | Brute force do código de 6 dígitos sem rate limit | POST /api/auth/verify-code-recover |
| #05 | Crítico | Chave vazada do QA autentica contra hosts de PRODUÇÃO | auth.superzzapp.com.br / bff.superzzapp.com.br |
| #07 | Crítico | SQL Injection no header api-company-target | POST /api/payment/profile-fraud |
| #08 | Crítico | Vazamento cross-tenant: 238 perfis de fraude (CPF, nome e celular) | GET /api/payment/profile-fraud |
| #23 | Alto | Criação anônima de vitrines sem autenticação | POST /bff/show-case |
| #24 | Alto | Bearer bypass em múltiplos endpoints: x-api-key sozinha permite CREATEs | Múltiplos (/bff/show-case, /bff/push-notification, etc.) |
| #25 | Alto | x-api-key vazada também autentica na Auth API (QA) | auth-qa.superzzapp.com.br/api/auth/* |
| #26 | Alto | /api/crm/bonus-query aceita x-api-key — enumeração de loja + PII | POST /api/crm/bonus-query |
| #27 | Alto | refresh-token funciona como login alternativo via x-api-key | POST /api/auth/refresh-token |
| #29 | Alto | SignalR de PROD aceita JWT derivado de QA | POST /hubs/logout-user/negotiate (PROD) |
| #30 | Alto | Header api-company-target sobrescreve claim de schema do JWT | Header api-company-target |
| #31 | Alto | Account enumeration + password spray identifica 8 CPFs cadastrados em QA | POST /api/auth |
| #45 | Alto | CORS com Access-Control-Allow-Origin: * em endpoints credenciados | Headers CORS (QA e PROD) |