CRITICAL🇬🇧 English

CVE-2026-41588

Podatność timing attack w mechanizmie uwierzytelniania RELATE

CVSS 9.0v3.1pub. 2026-05-08upd. 2026-05-12

RELATE, webowy system zarządzania materiałami dydaktycznymi, zawiera podatność typu timing attack w module uwierzytelniania (course/auth.py). Luka umożliwia atakującemu zdalnemu odgadnięcie tajnego klucza logowania poprzez analizę czasu odpowiedzi serwera.

Pokaż oryginał (EN)

RELATE is a web-based courseware package. Prior to commit 2f68e16, there is a timing attack vulnerability in course/auth.py — check_sign_in_key(). This issue has been patched via commit 2f68e16.

🤖 Analiza AI
Jak działa

Funkcja check_sign_in_key() w pliku course/auth.py porównuje klucze logowania w sposób podatny na atak czasowy (timing attack, CWE-208). Atakujący, wysyłając odpowiednio spreparowane żądania i mierząc czas odpowiedzi serwera, może stopniowo odgadnąć prawidłową wartość klucza znak po znaku. Podatność nie wymaga uwierzytelnienia ani interakcji użytkownika, jednak jej skuteczne wykorzystanie wymaga odpowiednich warunków sieciowych (wysoka złożoność ataku).

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na odgadnięcie tajnego klucza logowania, co może prowadzić do nieautoryzowanego dostępu do systemu z potencjalnie poważnymi konsekwencjami dla poufności, integralności i dostępności danych kursów i użytkowników.

Mitygacja

Należy zaktualizować instalację RELATE do wersji zawierającej commit 2f68e16cd3b96d25c188c1aa3f7e13cdb15cdaeb lub nowszej. Szczegóły dostępne w referencjach projektu na GitHub (GHSA-78j7-9xr9-2728).

Kogo dotyczy

Wszystkie wersje systemu RELATE poprzedzające commit 2f68e16 (projekt dostępny pod adresem github.com/inducer/relate)

Uwagi

Podatność została załatana poprzez commit 2f68e16. Klasyfikacja CWE-208 (Observable Timing Discrepancy) wskazuje na brak użycia porównania stałoczasowego (constant-time comparison) w funkcji sprawdzającej klucz logowania.

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Inducer Relate

    APP
    Inducer
    < 2026-04-17
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-32406HIGH7.5ten sam produkt

Server-Side Template Injection (SSTI) vulnerability in inducer relate before v.2024.1 allows a remote attacker...

CVE-2024-32407HIGH8.8ten sam produkt

An issue in inducer relate before v.2024.1 allows a remote attacker to execute arbitrary code via a crafted pa...

CVE-2024-32404MEDIUM6.0ten sam produkt

Server-Side Template Injection (SSTI) vulnerability in inducer relate before v.2024.1, allows remote attackers...

CVE-2024-32405LOW2.6ten sam produkt

Cross Site Scripting vulnerability in inducer relate before v.2024.1 allows a remote attacker to escalate priv...

CVE-2026-41588 — Podatność timing attack w mechanizmie uwierzytelniania RELATE — CRITICAL 9.0 | CVEbaza.pl