Nick-Vanpraet

**Nome do Software Vulnerável e Versões Afetadas** versões anteriores à versão corrigida **Descrição** O atacante pode validar se um usuário existe verificando o tempo de resposta do login. Essa diferença de tempo pode ser usada para enumerar nomes de usuário válidos, após o que um atacante poderia tentar ataques de força bruta. O problema foi causado por tempos de resposta diferentes quando um nome de usuário válido era fornecido (era realizado o hash da senha) e quando um nome de usuário inválido era fornecido (não era realizado o hash da senha). A correção introduz um TimingSafeFormLoginAuthenticator que realiza uma verificação de hash de senha fictícia mesmo para usuários inexistentes, garantindo um tempo de resposta consistente. **Recomendações** Atualize para a versão corrigida.