以下是关于漏洞的关键信息,以简洁的markdown格式呈现: 漏洞概述 CVE ID: CVE-2026-25050 CVSS 评分: Low 受影响的版本: 修复版本: 包: (npm) 漏洞描述 概要 方法存在时间攻击漏洞,允许攻击者枚举有效的用户名(电子邮件地址)。 细节 在文件 中,如果未找到用户, 方法会立即返回: 显著的时间差异(bcrypt 密码检查约 200-400ms vs 数据库未命中约 1-5ms)使得攻击者能够可靠地区分现有和不存在的账户。 漏洞影响 攻击者可枚举有效用户账户 有助于定向暴力破解或网络钓鱼攻击 信息泄露(账户存在性) 推荐修复方案 当未找到用户时执行一个模拟的 bcrypt 检查,以确保响应时间保持一致。