Static Web Server (SWS) is a production-ready web server suitable for static web files or assets. In versions 2.1.0 through 2.40.1, a timing-based username enumeration vulnerability in Basic Authentication allows attackers to identify valid users by exploiting early responses for invalid usernames, enabling targeted brute-force or credential-stuffing attacks. SWS checks whether a username exists before verifying the password, causing valid usernames to follow a slower code path (e.g., bcrypt hashing) while invalid usernames receive an immediate 401 response. This timing discrepancy allows attackers to enumerate valid accounts by measuring response-time differences. This issue has been fixed in version 2.41.0.
Static Web Server versions 2.1.0-2.40.1 contain a timing-based username enumeration vulnerability in Basic Authentication that allows attackers to identify valid users through response-time analysis. This vulnerability enables targeted brute-force and credential-stuffing attacks by exploiting the timing difference between valid and invalid username checks.
يستغل المهاجمون فرق التوقيت في معالجة أسماء المستخدمين الصحيحة مقابل غير الصحيحة في خادم الويب الثابت. أسماء المستخدمين الصحيحة تتطلب معالجة تجزئة bcrypt أبطأ بينما أسماء المستخدمين غير الصحيحة تتلقى استجابة 401 فورية. هذا يسمح بتعداد حسابات صحيحة وتنفيذ هجمات موجهة.
خادم الويب الثابت الإصدارات 2.1.0-2.40.1 يحتوي على ثغرة تعداد أسماء المستخدمين القائمة على التوقيت في المصادقة الأساسية. يمكن للمهاجمين تحديد المستخدمين الصحيحين من خلال تحليل فروقات وقت الاستجابة وتنفيذ هجمات القوة الغاشمة.
Upgrade Static Web Server to version 2.41.0 or later immediately. Implement rate limiting on authentication endpoints, use constant-time comparison functions for credential validation, and monitor for suspicious authentication patterns indicating enumeration attempts.
قم بترقية خادم الويب الثابت إلى الإصدار 2.41.0 أو أحدث فوراً. طبق تحديد معدل على نقاط نهاية المصادقة، واستخدم وظائف المقارنة ذات الوقت الثابت للتحقق من بيانات الاعتماد، وراقب الأنماط المريبة للمصادقة.