CVE-2025-53940 (CNNVD-202507-3125)
中文标题:
Quiet 安全漏洞
英文标题:
Quiet uses insecure, inconsistent verification on local backend token
漏洞描述
中文描述:
Quiet是Quiet开源的一个基于私有p2p软件。 Quiet 6.1.0-alpha.4及之前版本存在安全漏洞,该漏洞源于令牌验证使用不安全的非恒定时间比较函数,可能导致计时攻击。
英文描述:
Quiet is an alternative to team chat apps like Slack, Discord, and Element that does not require trusting a central server or running one's own. In versions 6.1.0-alpha.4 and below, Quiet's API for backend/frontend communication was using an insecure, not constant-time comparison function for token verification. This allowed for a potential timing attack where an attacker would try different token values and observe tiny differences in the response time (wrong characters fail faster) to guess the whole token one character at a time. This is fixed in version 6.0.1.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| TryQuiet | quiet | < 6.0.1 | - | - |
cpe:2.3:a:tryquiet:quiet:<_6.0.1:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
4.0 (cna)
HIGHCVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:N/SA:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2025-53940 |
2025-11-11 15:23:28 | 2025-11-11 07:40:41 |
| NVD | nvd_CVE-2025-53940 |
2025-11-11 15:00:57 | 2025-11-11 07:48:29 |
| CNNVD | cnnvd_CNNVD-202507-3125 |
2025-11-11 15:12:51 | 2025-11-11 08:00:01 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 其他
- cnnvd_id: 未提取 -> CNNVD-202507-3125
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- data_sources: ['cve'] -> ['cve', 'nvd']