发布日期：2024-12-04
更新日期：2025-01-22

受影响系统：

Dependency-Track Dependency-Track < 4.12.2

描述：

---

CVE(CAN) ID: CVE-2024-54002

Dependency-Track是Dependency-Track开源的一套用于识别第三方组件风险的智能供应链组件分析平台。
Dependency-Track 4.12.2之前版本存在可观察差异漏洞，该漏洞源于对已知系统内的用户名执行登录请求时的响应时间明显长于对未知用户名的请求，攻击者利用该漏洞可以枚举有效的用户名称。

<**>

建议：

---

厂商补丁：

Dependency-Track
----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/DependencyTrack/dependency-track/security/advisories/GHSA-9w3m-hm36-w32w

浏览次数：174
严重程度：0（网友投票）