GHSA-6m9h-2pr2-9j8f

Опубликовано: 18 апр. 2024

Источник: github

Github: Прошло ревью

CVSS4: 2

CVSS3: 5.9

Описание

1Panel's password verification is suspected to have a timing attack vulnerability

Summary

源码中密码校验处使用 != 符号，而不是hmac.Equal，这可能导致产生计时攻击漏洞，从而爆破密码。
建议使用 hmac.Equal 比对密码。

Translation:

The source code uses the != symbol instead of hmac.Equal for password verification, which may lead to timing attack vulnerabilities that can lead to password cracking. It is recommended to use hmac. Equal to compare passwords.

Details

https://github.com/1Panel-dev/1Panel/blob/dev/backend/app/service/auth.go#L81C5-L81C26

Impact

该产品的所有使用者。

Translation:

All users of this product.

Ссылки

Пакеты

Наименование

github.com/1Panel-dev/1Panel

Затронутые версииВерсия исправления

< 1.10.3

1.10.3

EPSS

Процентиль: 34%

0.00136

Низкий

2 Low

CVSS4

5.9 Medium

CVSS3

CVE ID

CVE-2024-30257

Дефекты

CWE-203

Связанные уязвимости

CVE-2024-30257

CVSS3: 3.9

nvd

почти 2 года назад

1Panel is an open source Linux server operation and maintenance management panel. The password verification in the source code uses the != symbol instead hmac.Equal. This may lead to a timing attack vulnerability. This vulnerability is fixed in 1.10.3-lts.

BDU:2024-03301

CVSS3: 3.9

fstec

почти 2 года назад

Уязвимость панели управления Linux-сервера 1Panel, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 34%

0.00136

Низкий

2 Low

CVSS4

5.9 Medium

CVSS3

CVE ID

CVE-2024-30257

Дефекты

CWE-203