漏洞总结 漏洞概述 ApostropheCMS 存在一个信息泄露漏洞。在密码重置流程中,如果用户输入的邮箱或用户名无效,系统会立即返回错误信息。攻击者可以通过观察响应时间或错误消息来判断该邮箱或用户名是否在系统中存在,从而进行用户枚举攻击。 影响范围 受影响组件: 受影响版本:4.29.0 及之前版本 修复方案 在密码重置流程中添加最小 2 秒的延迟,确保无论邮箱或用户名是否有效,系统都等待相同的时间后再返回响应。这样可以防止攻击者通过响应时间差异来判断用户是否存在。 修复代码