Talishar is a fan-made Flesh and Blood project. Prior to commit a9c218e, an authentication bypass vulnerability in Talishar's game endpoint validation logic allows any unauthenticated attacker to perform authenticated game actions — including sending chat messages and submitting game inputs — by supplying an empty authKey parameter (authKey=). The server-side validation uses a loose comparison that accepts an empty string as a valid credential, while correctly rejecting non-empty but incorrect keys. This asymmetry means the authentication mechanism can be completely bypassed without knowing any valid token. This issue has been patched in commit a9c218e.

Talishar es un proyecto de Flesh and Blood creado por fans. Antes del commit a9c218e, una vulnerabilidad de omisión de autenticación en la lógica de validación del endpoint de juego de Talishar permite a cualquier atacante no autenticado realizar acciones de juego autenticadas — incluyendo el envío de mensajes de chat y la introducción de entradas de juego — al proporcionar un parámetro authKey vacío (authKey=). La validación del lado del servidor utiliza una comparación laxa que acepta una cadena vacía como credencial válida, mientras que rechaza correctamente las claves no vacías pero incorrectas. Esta asimetría significa que el mecanismo de autenticación puede ser completamente omitido sin conocer ningún token válido. Este problema ha sido parcheado en el commit a9c218e.