关键信息 漏洞标题 Username Enumeration via Login Error Message in Rucio WebUI 漏洞ID GHSA-38wq-6q2w-hcf9 严重程度 Moderate (5.3/10) 影响的版本 < 39.3.1 修复版本 39.3.1, 38.5.4, 35.8.3 漏洞描述 WebUI 登录端点会根据提供的用户名是否存在返回不同的错误消息,允许未认证的攻击者枚举有效用户名。 漏洞详情 提交无效凭据到 时,WebUI 会根据提供的用户名(身份)的存在与否返回不同的错误消息。不存在的用户名会导致错误提示没有账户与该身份关联,而存在的用户名配以错误的密码则会产生不同的认证相关错误。这种行为差异允许攻击者通过观察响应内容来区分有效用户名和无效用户名。 概念验证 虚假登录(不存在的用户名 "15251087") - 响应包含: 虚假登录(存在的用户名 "root",错误密码) - 响应包含: 错误消息的差异确认用户名是否存在。 漏洞影响 未认证的攻击者可以枚举有效用户名,可能被用于目标密码猜测、凭证填充或社会工程学攻击。 缓解措施 / 缓解策略 对所有登录错误返回一个通用的认证失败消息,无论用户名是否存在。避免通过错误响应泄露账户或身份的存在信息。考虑实施速率限制或附加登录节流,进一步减少滥用。 相关链接 OWASP Authentication Cheat Sheet - Authentication and Error Messages: 链接