RELATE, webowy system zarządzania materiałami dydaktycznymi, zawiera podatność typu timing attack w module uwierzytelniania (course/auth.py). Luka umożliwia atakującemu zdalnemu odgadnięcie tajnego klucza logowania poprzez analizę czasu odpowiedzi serwera.
▸ Pokaż oryginał (EN)
RELATE is a web-based courseware package. Prior to commit 2f68e16, there is a timing attack vulnerability in course/auth.py — check_sign_in_key(). This issue has been patched via commit 2f68e16.
Funkcja check_sign_in_key() w pliku course/auth.py porównuje klucze logowania w sposób podatny na atak czasowy (timing attack, CWE-208). Atakujący, wysyłając odpowiednio spreparowane żądania i mierząc czas odpowiedzi serwera, może stopniowo odgadnąć prawidłową wartość klucza znak po znaku. Podatność nie wymaga uwierzytelnienia ani interakcji użytkownika, jednak jej skuteczne wykorzystanie wymaga odpowiednich warunków sieciowych (wysoka złożoność ataku).
Skuteczne wykorzystanie podatności pozwala atakującemu na odgadnięcie tajnego klucza logowania, co może prowadzić do nieautoryzowanego dostępu do systemu z potencjalnie poważnymi konsekwencjami dla poufności, integralności i dostępności danych kursów i użytkowników.
Należy zaktualizować instalację RELATE do wersji zawierającej commit 2f68e16cd3b96d25c188c1aa3f7e13cdb15cdaeb lub nowszej. Szczegóły dostępne w referencjach projektu na GitHub (GHSA-78j7-9xr9-2728).
Wszystkie wersje systemu RELATE poprzedzające commit 2f68e16 (projekt dostępny pod adresem github.com/inducer/relate)
Podatność została załatana poprzez commit 2f68e16. Klasyfikacja CWE-208 (Observable Timing Discrepancy) wskazuje na brak użycia porównania stałoczasowego (constant-time comparison) w funkcji sprawdzającej klucz logowania.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HInducer Relate
APPInducer< 2026-04-17
Powiązane podatności
Server-Side Template Injection (SSTI) vulnerability in inducer relate before v.2024.1 allows a remote attacker...
An issue in inducer relate before v.2024.1 allows a remote attacker to execute arbitrary code via a crafted pa...
Server-Side Template Injection (SSTI) vulnerability in inducer relate before v.2024.1, allows remote attackers...
Cross Site Scripting vulnerability in inducer relate before v.2024.1 allows a remote attacker to escalate priv...