一、 漏洞 CVE-2024-5124 基础信息
漏洞标题
gaizhenbiao/chuanhuchatgpt 的时间攻击漏洞
来源:AIGC 神龙大模型
漏洞描述信息
gaizhenbiao/chuanhuchatgpt 存在一个定时攻击漏洞,具体是在密码比较逻辑中。此漏洞存在于软件版本20240310,其中在Python中使用'='操作符比较密码。这种比较方式允许攻击者根据每个字符比较的时长猜测密码。问题源于用于为特定用户名检查密码的代码段,这可能导致未经授权的参与者暴露敏感信息。利用此漏洞的攻击者可能能够猜测用户密码,从而威胁系统的安全性。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
通过差异性导致的信息暴露
来源:AIGC 神龙大模型
漏洞标题
Timing Attack Vulnerability in gaizhenbiao/chuanhuchatgpt
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A timing attack vulnerability exists in the gaizhenbiao/chuanhuchatgpt repository, specifically within the password comparison logic. The vulnerability is present in version 20240310 of the software, where passwords are compared using the '=' operator in Python. This method of comparison allows an attacker to guess passwords based on the timing of each character's comparison. The issue arises from the code segment that checks a password for a particular username, which can lead to the exposure of sensitive information to an unauthorized actor. An attacker exploiting this vulnerability could potentially guess user passwords, compromising the security of the system.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
通过差异性导致的信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
ChuanhuChatGPT 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ChuanhuChatGPT是为ChatGPT/ChatGLM/LLaMA/StableLM/MOSS等多种LLM提供了一个轻快好用的Web图形界面。 ChuanhuChatGPT 存在信息泄露漏洞,该漏洞源于密码比较逻辑存在一个定时攻击漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-5124 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/gogo2464/CVE-2024-5124 POC详情
2 CVE-2024-5124 poc https://github.com/XiaomingX/CVE-2024-5124-poc POC详情
3 CVE-2024-5124 poc https://github.com/XiaomingX/cve-2024-5124-poc POC详情
三、漏洞 CVE-2024-5124 的情报信息