GHSA-gq3j-xvxp-8hrf
NiskieStreszczenie
Middleware `basicAuth` i `bearerAuth` używały porównania, które nie było w pełni bezpieczne pod względem czasu. Funkcja `timingSafeEqual` stosowała normalne porównanie stringów (`===`), co mogło prowadzić do wcześniejszego zakończenia porównania, jeśli wartości się różniły.
Ocena ryzyka
Wykorzystanie tej podatności może umożliwić atakującym przeprowadzenie ataków typu timing attack, co może prowadzić do ujawnienia wrażliwych danych, takich jak hasła lub tokeny.
Rekomendacja
Zaleca się aktualizację middleware do najnowszej wersji, która stosuje bezpieczne porównania czasowe, aby zminimalizować ryzyko ataków.
Oryginalny opis (angielski, źródło NVD)
## Summary The `basicAuth` and `bearerAuth` middlewares previously used a comparison that was not fully timing-safe. The `timingSafeEqual` function used normal string equality (`===`) when comparing hash values. This comparison may stop early if values differ, which can theoretically cause small t

