关键漏洞信息 漏洞详情 漏洞名称: User Enumeration via Argon2 Timing Attack on Sign-In Endpoint 漏洞ID: GHSA-wcr9-mvr9-4qh5 CVE ID: CVE-2026-25222 报告者: Jvr2022 影响范围 受影响版本: <= v0-PRERELEASE-15 已修复版本: 无 漏洞描述 摘要: 登录过程中存在时间攻击漏洞,允许未认证攻击者通过测量登录端点的响应时间区分有效和无效的邮箱地址,从而确定特定邮箱是否注册在平台上。 详细信息: - 漏洞位于 文件中的 函数。 - 当用户不存在时,函数立即返回,未执行耗时的 Argon2 密码哈希操作。 - 当用户存在时,函数会执行 函数,导致响应时间显著延长。 漏洞影响 信息泄露: - 枚举用户: 攻击者可以确认哪些个人(例如员工、公众人物或从泄露数据库中获取的目标)在平台上有账户。 - 定向攻击: 一旦确认账户存在,攻击者可以针对该邮箱进行定向钓鱼、密码重置或凭证填充攻击。 漏洞评估 严重性: 中等 (6.3/10) CVSS v4 基本度量: - 攻击向量: 网络 - 攻击复杂度: 高 - 攻击需求: 无 - 所需权限: 无 - 用户交互: 无 - 漏洞系统影响度量: - 机密性: 低 - 完整性: 无 - 可用性: 无 - 后续系统影响度量: - 机密性: 低 - 完整性: 无 - 可用性: 无 漏洞弱点 CWE-200: 信息泄露