CVE-2026-414184ga Boards是一款实时项目管理看板系统。在3.3.5版本之前,该系统登录接口存在基于计时侧信道的用户枚举漏洞。攻击者通过观察服务器响应时间的差异,可以有效枚举系统中注册的用户名。具体而言,当输入无效用户名时服务器立即响应,而当输入有效用户名配合错误密码时,服务器会进行bcrypt验证导致响应延迟。这种时间差使得攻击者能够轻易区分用户是否存在。该漏洞已在3.3.5版本中得到修复。
该漏洞源于登录接口(POST /api/access-tokens)处理逻辑中的不一致响应时间。当攻击者提交一个不存在的用户名或邮箱时,系统在验证阶段早期判定用户无效,无需进行复杂的密码哈希计算,直接返回错误信息,平均响应时间约为17毫秒。然而,当提交的用户名存在但密码错误时,系统会从数据库检索该用户的哈希值,并执行 `bcrypt.compareSync()` 函数进行密码比对。由于 bcrypt 算法设计为计算密集型以防止暴力破解,这一过程显著增加了CPU处理时间,导致平均响应时间达到约74毫秒。这种约4.4倍的响应时间差异在网络环境下非常明显,即使存在网络抖动也极易被区分。攻击者无需复杂的统计模型,仅凭单一请求的响应时长即可高置信度地判断该用户名是否已在系统中注册。这种基于侧信道的攻击方式破坏了系统的用户隐私保护机制,为后续的暴力破解或定向钓鱼攻击提供了精准的目标列表。