[TASK] Use hash_equals for timing-safe comparison of hash-values
[Packages/TYPO3.CMS.git] / typo3 / sysext / core / Classes / FormProtection / AbstractFormProtection.php
index dc634da..a49cc6d 100644 (file)
@@ -103,7 +103,7 @@ abstract class AbstractFormProtection
     public function validateToken($tokenId, $formName, $action = '', $formInstanceName = '')
     {
         $validTokenId = GeneralUtility::hmac(((string)$formName . (string)$action) . (string)$formInstanceName . $this->getSessionToken());
-        if ((string)$tokenId === $validTokenId) {
+        if (hash_equals($validTokenId, (string)$tokenId)) {
             $isValid = true;
         } else {
             $isValid = false;