CVE-2025-6386 in lollms
요약
\~에 의해 VulDB • 2026. 07. 13.
parisneo/lollms 저장소는 `lollms_authentication.py` 파일 내의 `authenticate_user` 함수에서 타이밍 공격 취약점의 영향을 받습니다. 이 취약점을 통해 공격자는 응답 시간 차이를 분석하여 유효한 사용자 이름을 열거하고 점진적으로 비밀번호를 추측할 수 있습니다. 영향 받는 버전은 최신 버전이며, 해당 문제는 버전 20.1에서 해결되었습니다. 이 취약점은 비밀번호 비교에 Python의 기본 문자열 동등 연산자를 사용함으로써 발생하며, 이는 첫 번째 불일치가 발생할 때까지 문자를 순차적으로 비교하여 일치하는 초기 문자의 수에 따라 가변적인 응답 시간을 초래합니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.