关键信息 漏洞概述 漏洞名称: User Enumeration via Response Timing CVE ID: CVE-2025-9824 严重性: Moderate (CVSS v3 base score: 5.9/10) 影响范围 受影响版本: - >= 4.4.0, = 5.0.0-alpha, = 6.0.0-alpha, < 6.0.5 修复版本: - 4.4.17 - 5.2.8 - 6.0.5 描述与影响 描述: 攻击者可以通过检查登录响应时间来验证用户是否存在。这种时间差异可用于枚举有效用户名,之后攻击者可以尝试暴力破解攻击。 修复措施: 实现了一个时间安全的表单登录验证器,确保无论用户是否存在,响应时间都一致。 技术细节 原因: 不同的响应时间导致了漏洞: - 提供了有效的用户名(密码哈希发生) - 提供了无效的用户名(没有密码哈希发生) 修复: 引入了 ,即使对于不存在的用户也执行虚拟密码哈希验证,确保一致的时间。 工作区 绕过方法: 无可用的工作区。用户应升级到修复版本。 参考资料 OWASP Web Security Testing Guide GitHub Mautic Security Pull Request