CVE-2022-48366

Versões do eZ Platform Ibexa Kernel anteriores à 1.3.19

A vulnerabilidade permite determinar a existência de uma conta por meio de um ataque de temporização, afetando a privacidade. Verificou-se que a implementação do tempo de execução aleatório do Ibexa DXP para impedir ataques de temporização era insuficiente em algumas situações. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Os detalhes técnicos sobre a exploração incluem o uso de ataques de temporização contra contas de usuário, que podem descobrir se uma determinada conta existe em um sistema sem saber sua senha.

Para versões anteriores à 1.3.19, atualize para a versão 1.3.19 ou posterior, que substitui o tempo de execução aleatório por uma funcionalidade de tempo constante, configurada no novo parâmetro security.yml ibexa.security.authentication.constant auth time.

Como solução alternativa temporária, considere aumentar a configuração ibexa.security.authentication.constant auth time se um aviso for registrado devido ao tempo constante ter sido excedido.