PolarLearn is a free and open-source learning program. In 0-PRERELEASE-15 and earlier, a timing attack vulnerability in the sign-in process allows unauthenticated attackers to determine if a specific email address is registered on the platform. By measuring the response time of the login endpoint, an attacker can distinguish between valid and invalid email addresses. This occurs because the server only performs the computationally expensive Argon2 password hashing if the user exists in the database. Requests for existing users take significantly longer (~650ms) than requests for non-existent users (~160ms).
PolarLearn versions 0-PRERELEASE-15 and earlier contain a timing attack vulnerability in the sign-in process that allows attackers to enumerate valid email addresses by measuring response times. The vulnerability exists because password hashing is only performed for existing users, creating a measurable timing difference that reveals user existence.
تحتوي نسخة PolarLearn 0-PRERELEASE-15 وما قبلها على ثغرة هجوم توقيت في عملية تسجيل الدخول. يمكن للمهاجمين غير المصرح لهم تحديد ما إذا كان عنوان بريد إلكتروني معين مسجلاً على المنصة من خلال قياس وقت استجابة نقطة نهاية تسجيل الدخول. يحدث هذا لأن الخادم يقوم فقط بتجزئة كلمة المرور باستخدام Argon2 الحسابية المكلفة إذا كان المستخدم موجوداً في قاعدة البيانات.
A timing attack vulnerability in PolarLearn's authentication system enables attackers to identify registered email addresses through response time analysis. The flaw occurs because the server only executes expensive password hashing for existing users, creating detectable timing variations.
Upgrade PolarLearn to a version after 0-PRERELEASE-15. Implement constant-time comparison functions and perform password hashing operations for both valid and invalid users to eliminate timing differences. Add random delays to authentication responses and implement rate limiting on login endpoints.
قم بترقية PolarLearn إلى إصدار أحدث من 0-PRERELEASE-15. طبق دوال المقارنة ذات الوقت الثابت وقم بإجراء عمليات تجزئة كلمات المرور لكل من المستخدمين الصحيحين وغير الصحيحين. أضف تأخيرات عشوائية لاستجابات المصادقة وطبق تحديد معدل الوصول على نقاط نهاية تسجيل الدخول.