Informazioni sul CVE-2024-0436
Prevent timing attack for single-user password check
CWE ID: CWE-203
Base Score (CVSS): N/A
CVE: CVE-2024-0436
Descrizione: “Teoricamente, sarebbe possibile per un attaccante brute-forceare la password di un singolo utente in modalità singola in un ambiente di protezione con password lineare tramite un attacco di timing dato che la natura lineare del `!==` utilizzato per la comparazione rende l’attacco meno affidabile.” “Il rischio è ridotto dall’overhead aggiuntivo della richiesta, che varia in modo non costante, rendendo l’attacco meno affidabile da eseguire.”
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/3e73cb96-c038-46a1-81b7-4d2215b36268
- https://github.com/mintplex-labs/anything-llm/commit/3c859ba3038121b67fb98e87dc52617fa27cbef0
Prodotti interessati
- mintplex-labs – mintplex-labs/anything-llm
Relazioni con altri prodotti
Produttore:mintplex-labs
Prodotto: mintplex-labs/anything-llm
Anno: 2024
CWE: CWE-203
CVSS: 0.0