慢霧首席信息安全官 23pds 發文稱，Okta 允許任何超過 52 個字符的用戶名繞過登錄！另據身份和訪問管理軟件提供商 Okta 公告稱，10 月 30 日，在為 AD/LDAP DelAuth 生成緩存密鑰時內部發現了一個漏洞。 Bcrypt 算法用于生成緩存密鑰，其中我們對 userId 用戶名 密碼的組合字符串進行哈希處理。在特定條件下，這可以允許用戶僅通過向用戶名提供先前成功身份驗證的存儲的緩存密鑰來進行身份驗證。 此漏洞的前提是每次為用戶生成緩存密鑰時，用戶名必須等于或超過 52 個字符。受影響的產品和版本是截至 2024 年 7 月 23 日的 Okta AD/LDAP DelAuth，該漏洞已于 2024 年 10 月 30 日在 Okta 的生產環境中得到解決。