Katalog CVE

GHSA-gq3j-xvxp-8hrf

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Middleware `basicAuth` i `bearerAuth` używały porównania, które nie było w pełni bezpieczne pod względem czasu. Funkcja `timingSafeEqual` stosowała normalne porównanie stringów (`===`), co mogło prowadzić do wcześniejszego zakończenia porównania, jeśli wartości się różniły.

Ocena ryzyka

Wykorzystanie tej podatności może umożliwić atakującym przeprowadzenie ataków typu timing attack, co może prowadzić do ujawnienia wrażliwych danych, takich jak hasła lub tokeny.

Rekomendacja

Zaleca się aktualizację middleware do najnowszej wersji, która stosuje bezpieczne porównania czasowe, aby zminimalizować ryzyko ataków.

Oryginalny opis (angielski, źródło NVD)

## Summary The `basicAuth` and `bearerAuth` middlewares previously used a comparison that was not fully timing-safe. The `timingSafeEqual` function used normal string equality (`===`) when comparing hash values. This comparison may stop early if values differ, which can theoretically cause small t

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS