从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞类型:Timing attack due to a lack of constant time comparison for metrics view - 漏洞影响:由于在metrics视图中缺乏常量时间比较,导致可以利用SECRET_KEY进行暴力破解。 - 漏洞影响范围:受影响的版本包括: - < 2024.10.3 - < 2024.8.5 - 修复版本:2024.10.3和2024.8.5修复了这个问题。 2. 漏洞影响: - 影响范围:通过暴力破解SECRET_KEY,可以用于签名或修改现有的cookie。 - 缓解措施: - 对于其他受影响的版本,可以使用工作绕过方法。 - 使用反向代理/负载均衡器与authentik配合,阻止对metrics视图的访问。 3. 漏洞评级: - 严重性:Moderate (6.3 / 10) - CVSS v4 base metrics: - Exploitability Metrics: - Attack Vector:Network - Attack Complexity:Low - Privileges Required:Present - User Interaction:None - Vulnerable System Impact Metrics: - Confidentiality:Low - Integrity:Low - Availability:Low - Subsequent System Impact Metrics: - Confidentiality:Low - Integrity:None - Availability:None 4. 漏洞编号: - CVE ID:CVE-2024-52307 5. 报告者: - mgerstner 6. 更多信息: - 可以通过security@goauthentik.io电子邮件联系安全团队获取更多信息或提出问题。