PT-2024-40448 · Unknown · Persistedusernamepasswordprovider
Publicado
2024-06-05
·
Atualizado
2024-06-05
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
PersistedUsernamePasswordProvider (versões afetadas não especificadas)
Descrição
O problema diz respeito a um ataque de temporização que poderia revelar a existência de contas com base no hash das senhas. Isso ocorreu porque o hash das senhas só era realizado quando uma conta era encontrada. O núcleo foi modificado para que o provedor sempre realize uma comparação de senha quando as credenciais são enviadas.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Persistedusernamepasswordprovider