Okta：關鍵安全漏洞「52+字元用戶名可繞過登錄驗證」已修復

2024年11月2日，身份和訪問管理軟體提供商Okta在其網站上的一篇文章中披露，2024年10月30日，發現AD/LDAP DelAuth生成緩存鍵的過程中存在內部漏洞，該過程使用Bcrypt算法生成，我們將userId + username + password的組合字符串進行哈希。在某些情況下，這可能允許用戶僅通過提供用戶名和之前成功驗證的存儲緩存鍵進行身份驗證。

Okta表示，該漏洞的前提是每次為用戶生成緩存鍵時，用戶名必須等於或大於52個字符。受影響的產品和版本是截至2024年7月23日的Okta AD/LDAP DelAuth，該漏洞已於2024年10月30日在Okta的生產環境中得到解決。