Guchihacker

Nome do Software Vulnerável e Versões Afetadas File Browser versões anteriores à 2.55.0 Descrição O File Browser oferece uma interface de gerenciamento de arquivos para tarefas como upload, exclusão e edição de arquivos. Uma falha na função `JSONAuth.Auth` permite que atacantes não autenticados identifiquem nomes de usuário válidos ao observar o tempo de resposta do endpoint `/api/login`. Isso é possível porque a lógica de autenticação utiliza uma "avaliação de curto-circuito". Quando um nome de usuário não é encontrado, a função retorna rapidamente, mas quando o nome de usuário existe, um processo mais lento de verificação de senha usando `users.CheckPwd` é executado, criando uma diferença de tempo mensurável. Recomendações Atualize para a versão 2.55.0 ou posterior.