🟠 Alto | Segurança/Performance | API
Problema
POST /keys/batch aceita Vec<FrontendSetBody> sem limite de tamanho. Atacante pode enviar 100.000 registros em uma única requisição.
Impacto
DoS via batch gigante. Engine LSM-tree faz put_cf para cada registro individualmente (sem batch transaction). Amplificação de escrita.
Evidência
src/api/mod.rs:406-431: sem .take() ou max_batch validation.
Recomendação
Adicionar max_batch: usize configurável (default 1000). Validar no middleware. Usar transação atômica do engine se disponível.
Validação
POST /keys/batch com 10001 registros → deve retornar 413.
Prioridade: Alta
🟠 Alto | Segurança/Performance | API
Problema
POST /keys/batchaceitaVec<FrontendSetBody>sem limite de tamanho. Atacante pode enviar 100.000 registros em uma única requisição.Impacto
DoS via batch gigante. Engine LSM-tree faz
put_cfpara cada registro individualmente (sem batch transaction). Amplificação de escrita.Evidência
src/api/mod.rs:406-431: sem.take()oumax_batchvalidation.Recomendação
Adicionar
max_batch: usizeconfigurável (default 1000). Validar no middleware. Usar transação atômica do engine se disponível.Validação
POST /keys/batchcom 10001 registros → deve retornar 413.Prioridade: Alta