CVE-2025-6386 in lollms정보

요약

\~에 의해 VulDB • 2026. 07. 13.

parisneo/lollms 저장소는 `lollms_authentication.py` 파일 내의 `authenticate_user` 함수에서 타이밍 공격 취약점의 영향을 받습니다. 이 취약점을 통해 공격자는 응답 시간 차이를 분석하여 유효한 사용자 이름을 열거하고 점진적으로 비밀번호를 추측할 수 있습니다. 영향 받는 버전은 최신 버전이며, 해당 문제는 버전 20.1에서 해결되었습니다. 이 취약점은 비밀번호 비교에 Python의 기본 문자열 동등 연산자를 사용함으로써 발생하며, 이는 첫 번째 불일치가 발생할 때까지 문자를 순차적으로 비교하여 일치하는 초기 문자의 수에 따라 가변적인 응답 시간을 초래합니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

@huntr Ai

예약하다

2025. 06. 19.

모더레이션

수락

항목

VDB-315141

EPSS

0.00371

출처

Do you know our Splunk app?

Download it now for free!