CVE Catalog
EnglishPolski(English translation not available — showing Polish)

GHSA-gq3j-xvxp-8hrf

Low
Published: Translated: NVD NIST

Summary

Middleware `basicAuth` i `bearerAuth` używały porównania, które nie było w pełni bezpieczne pod względem czasu. Funkcja `timingSafeEqual` stosowała normalne porównanie stringów (`===`), co mogło prowadzić do wcześniejszego zakończenia porównania, jeśli wartości się różniły.

Risk Assessment

Wykorzystanie tej podatności może umożliwić atakującym przeprowadzenie ataków typu timing attack, co może prowadzić do ujawnienia wrażliwych danych, takich jak hasła lub tokeny.

Recommendation

Zaleca się aktualizację middleware do najnowszej wersji, która stosuje bezpieczne porównania czasowe, aby zminimalizować ryzyko ataków.

Original NVD description (English source)

## Summary The `basicAuth` and `bearerAuth` middlewares previously used a comparison that was not fully timing-safe. The `timingSafeEqual` function used normal string equality (`===`) when comparing hash values. This comparison may stop early if values differ, which can theoretically cause small t

Vulnerability data from NVD (NIST) · CISA KEV · EPSS