PT-2024-32459 · Unknown · Basic-Auth-Connect
Adamkorcz
·
Publicado
2024-09-30
·
Atualizado
2024-11-15
·
CVE-2024-47178
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do basic-auth-connect anteriores à 1.1.0
Descrição
O problema diz respeito a uma comparação de igualdade com falha de segurança de temporização no basic-auth-connect, que pode vazar informações de temporização. Essa comparação pode, potencialmente, permitir que um invasor observe diferenças nos tempos de resposta, o que pode levar a problemas de segurança. O problema foi corrigido na versão 1.1.0 do basic-auth-connect.
Recomendações
Para versões anteriores à 1.1.0, atualize para o basic-auth-connect 1.1.0 para corrigir o vazamento de informações de tempo no middleware Basic Auth. Como solução temporária, considere restringir o acesso à funcionalidade Basic Auth até que a atualização possa ser aplicada.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Basic-Auth-Connect