CVE-2025-6386 in lollmsinformazioni

Riassunto

di VulDB • 12/07/2026

Il repository parisneo/lollms è interessato da una vulnerabilità di tipo timing attack nella funzione `authenticate_user` all'interno del file `lollms_authentication.py`. Questa vulnerabilità consente agli attaccanti di enumerare i nomi utente validi e indovinare le password in modo incrementale analizzando le differenze nei tempi di risposta. La versione interessata è l'ultima, e il problema è risolto nella versione 20.1. La vulnerabilità deriva dall'utilizzo dell'operatore predefinito di uguaglianza delle stringhe di Python per il confronto delle password, che confronta i caratteri in sequenza ed esce al primo disallineamento, causando tempi di risposta variabili in base al numero di caratteri iniziali corrispondenti.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

@huntr Ai

Prenotare

19/06/2025

Divulgazione

07/07/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00371

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!