PT-2024-15560 · Git+2 · Anything-Llm+1
Publicado
2024-02-25
·
Atualizado
2025-03-27
·
CVE-2024-0436
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Software (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite, em teoria, que um invasor descubra a senha de uma instância no modo de proteção por senha de usuário único por meio de um ataque de temporização. Isso se deve à natureza linear do operador
!== utilizado para comparação. No entanto, o risco é minimizado pela sobrecarga adicional da solicitação, que varia de forma não constante, tornando a execução do ataque menos confiável.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Anything-Llm
Mintplex-Labs/Anything-Llm