关键漏洞信息 CVE 编号: CVE-2022-40482 漏洞类型: 用户枚举漏洞 (Timing Attack) 影响版本: Laravel v8.x 到 v9.x 影响说明: 通过分析登录请求的处理时间差异,攻击者可以确定哪些用户存在数据库中。 漏洞原理: - 在 Laravel 框架的 类中的 方法存在早期返回问题。 - 当用户不存在时,该方法会提前返回,导致处理时间较短,从而泄露用户存在信息。 修复措施: - 使用时间盒技术,对 方法进行封装,确保无论用户是否存在,都花费相同的时间来执行,防止信息泄露。 - 修复代码的 pull request 地址为: https://github.com/laravel/framework/pull/44069 CVE 详细信息