目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-208 通过时间差异性导致的信息暴露 类漏洞列表 103

CWE-208 通过时间差异性导致的信息暴露 类弱点 103 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-208 属于时序差异漏洞,指产品执行不同操作所需时间存在可观测差异,从而泄露安全相关信息。攻击者通常通过精确测量响应时间的微小波动,间接推断操作是否成功或系统内部状态,进而获取敏感数据。开发者应避免在验证逻辑中使用耗时不同的分支,确保成功与失败路径的执行时间保持一致,并采用恒定时间算法来消除时序侧信道风险。

MITRE CWE 官方描述
CWE:CWE-208 可观测的时间差异 (Observable Timing Discrepancy) 英文:产品中的两个独立操作完成所需的时间不同,且这种差异对攻击者 (actor) 是可观测的,从而泄露了关于产品状态的安全相关信息,例如特定操作是否成功。 在安全相关上下文 (security-relevant contexts) 中,即使是微小的时间变化也可能被攻击者利用,以间接推断出关于产品内部操作的某些细节。例如,在某些加密算法 (cryptographic algorithms) 中,攻击者可以利用时间差异来推断关于私钥 (private key) 的某些属性,从而使密钥更容易被猜测。时间差异 (Timing discrepancies) 实际上构成了一个时序侧信道 (timing side channel)。
常见影响 (1)
Confidentiality, Access ControlRead Application Data, Bypass Protection Mechanism
代码示例 (2)
Consider an example hardware module that checks a user-provided password to grant access to a user. The user-provided password is compared against a golden value in a byte-by-byte manner.
always_comb @ (posedge clk) begin assign check_pass[3:0] = 4'b0; for (i = 0; i < 4; i++) begin if (entered_pass[(i*8 - 1) : i] eq golden_pass([i*8 - 1) : i]) assign check_pass[i] = 1; continue; else assign check_pass[i] = 0; break; end assign grant_access = (check_pass == 4'b1111) ? 1'b1: 1'b0; end
Bad · Verilog
always_comb @ (posedge clk) begin assign check_pass[3:0] = 4'b0; for (i = 0; i < 4; i++) begin if (entered_pass[(i*8 - 1) : i] eq golden_pass([i*8 -1) : i]) assign check_pass[i] = 1; continue; else assign check_pass[i] = 0; continue; end assign grant_access = (check_pass == 4'b1111) ? 1'b1: 1'b0; end
Good · Verilog
In this example, the attacker observes how long an authentication takes when the user types in the correct password.
def validate_password(actual_pw, typed_pw): if len(actual_pw) <> len(typed_pw): return 0 for i in len(actual_pw): if actual_pw[i] <> typed_pw[i]: return 0 return 1
Bad · Python
CVE ID标题CVSS风险等级Published
CVE-2026-41588 course/auth.py 计时攻击漏洞 — relate 9.0 Critical2026-05-08
CVE-2026-41161 用户名枚举通过时序攻击 — server--2026-05-08
CVE-2026-33006 Apache HTTP Server mod_auth_digest 时序攻击漏洞 — Apache HTTP Server 8.1AIHighAI2026-05-04
CVE-2026-41263 Traefik BasicAuth中间件时序侧信道漏洞 — traefik 3.7AILowAI2026-04-30
CVE-2026-41407 OpenClaw 安全漏洞 — OpenClaw 3.7 Low2026-04-28
CVE-2026-40972 VMware Spring Boot 安全漏洞 — Spring Boot 7.5 High2026-04-27
CVE-2026-41244 Mojic 安全漏洞 — mojic 4.7 Medium2026-04-24
CVE-2026-41418 4ga Boards 安全漏洞 — 4gaBoards 5.3 Medium2026-04-24
CVE-2026-40263 Note Mark 安全漏洞 — note-mark 3.7 Low2026-04-16
CVE-2026-33877 ApostropheCMS 安全漏洞 — apostrophe 3.7 Low2026-04-15
CVE-2026-5086 Crypt::SecretBuffer 安全漏洞 — Crypt::SecretBuffer 5.9 -2026-04-13
CVE-2026-40194 phpseclib 安全漏洞 — phpseclib 3.7 Low2026-04-10
CVE-2026-39321 Parse Server 安全漏洞 — parse-server 4.8AIMediumAI2026-04-07
CVE-2026-32595 Traefik 安全漏洞 — traefik 3.7 -2026-03-20
CVE-2026-33129 H3 安全漏洞 — h3 5.9 Medium2026-03-20
CVE-2026-32935 phpseclib 安全漏洞 — phpseclib 5.9 -2026-03-20
CVE-2026-32702 Cleanuparr 安全漏洞 — Cleanuparr 3.7AILowAI2026-03-13
CVE-2026-28475 OpenClaw 安全漏洞 — OpenClaw 4.8 Medium2026-03-05
CVE-2026-28464 OpenClaw 安全漏洞 — OpenClaw 5.9 Medium2026-03-05
CVE-2026-3337 AWS libcrypto 安全漏洞 — AWS-LC 5.9 Medium2026-03-02
CVE-2026-23901 Apache Shiro 安全漏洞 — Apache Shiro 6.5 -2026-02-10
CVE-2025-68621 Trilium Notes 安全漏洞 — Trilium 7.4 High2026-02-06
CVE-2026-25597 PrestaShop 安全漏洞 — PrestaShop 5.3 Medium2026-02-06
CVE-2025-13473 Django 安全漏洞 — Django 3.7 -2026-02-03
CVE-2026-23892 OctoPrint 安全漏洞 — OctoPrint 5.9AIMediumAI2026-01-27
CVE-2025-22234 Spring Security 安全漏洞 — Spring Security 5.3 Medium2026-01-22
CVE-2026-23996 FastAPI Api Key 安全漏洞 — fastapi-api-key 3.7 Low2026-01-21
CVE-2026-23849 FileBrowser 安全漏洞 — filebrowser 5.3 Medium2026-01-19
CVE-2026-23519 RustCrypto 安全漏洞 — utils 7.5AIHighAI2026-01-15
CVE-2025-52457 Gallagher HBUS Devices 安全漏洞 — HBUS Devices 5.7 Medium2025-11-18

CWE-208(通过时间差异性导致的信息暴露) 是常见的弱点类别,本平台收录该类弱点关联的 103 条 CVE 漏洞。