answer用户枚举漏洞
answer是一个开源的基于知识的社区软件。
一、漏洞分析
公开日期:2023-04-20
漏洞编号:CNVD-2023-31161/CVE-2022-1538
危害等级:高危
漏洞描述:answer 1.0.6之前版本存在用户枚举漏洞,该漏洞源于在登录门户中暴力破解有效的电子邮件帐户时,有效帐户的时间明显高于无效用户帐户的时间。攻击者可利用该漏洞导致账户枚举。
二、漏洞影响产品
answer answer <1.0.6
三、漏洞处置建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/answerdev/answer/releases/tag/v1.0.7/
