CVE-2026-40263

Name of the Vulnerable Software and Affected Versions Note Mark versões anteriores a 0.19.2

Description Um canal lateral de temporização no endpoint de login permite que atacantes não autenticados determinem se um nome de usuário existe medindo as diferenças no tempo de resposta. O servidor realiza a verificação de senha bcrypt apenas quando o nome de usuário fornecido existe, fazendo com que as solicitações para nomes de usuário válidos demorem significativamente mais do que as solicitações para nomes de usuário inexistentes. Essa discrepância permite a enumeração remota de nomes de usuário, que pode ser usada para facilitar ataques de credenciais direcionados. O problema afeta o endpoint 'POST /api/auth/token' e é causado pelo servidor executar a função bcrypt.CompareHashAndPassword apenas após um usuário ser encontrado no banco de dados, sem realizar uma equalização de tempo constante para usuários inexistentes.

Recommendations Atualizar para a versão 0.19.2.