CVE-2025-9824

Nome do Software Vulnerável e Versões Afetadas versões anteriores à versão corrigida

Descrição O atacante pode validar se um usuário existe verificando o tempo de resposta do login. Essa diferença de tempo pode ser usada para enumerar nomes de usuário válidos, após o que um atacante poderia tentar ataques de força bruta. O problema foi causado por tempos de resposta diferentes quando um nome de usuário válido era fornecido (era realizado o hash da senha) e quando um nome de usuário inválido era fornecido (não era realizado o hash da senha). A correção introduz um TimingSafeFormLoginAuthenticator que realiza uma verificação de hash de senha fictícia mesmo para usuários inexistentes, garantindo um tempo de resposta consistente.

Recomendações Atualize para a versão corrigida.