发布日期：2026-02-02
更新日期：2026-04-14

受影响系统：

PolarNL PolarLearn <= 0-PRERELEASE-15

描述：

---

CVE(CAN) ID: CVE-2026-25222

PolarLearn是一个免费开源的在线学习程序。
PolarLearn 0-PRERELEASE-15及之前版本存在可观察差异漏洞，该漏洞源于在登录验证过程中，仅当用户存在于数据库时才会执行计算密集型的Argon2密码哈希操作，对已存在用户的请求耗时显著较长，而对不存在用户的请求耗时较短,攻击者可利用该漏洞测量登录端点的响应时间差异，枚举出平台上已注册的电子邮件地址，从而获取用户存在性信息。

<*链接：https://github.com/polarnl/PolarLearn/security/advisories/GHSA-wcr9-mvr9-4qh5
*>

建议：

---

厂商补丁：

PolarNL
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/polarnl/PolarLearn/commit/6c276855172c7310cce0df996cb47ffe0d886741

浏览次数：11
严重程度：0（网友投票）