Ory Kratos 的 `highest_available` 设置未正确遵守代码 + mfa 凭证 (CVE-2024-45042)
CVE编号
CVE-2024-45042利用情况
暂无补丁情况
N/A披露时间
2024-09-27漏洞描述
Ory Kratos 是一个用于云服务的身份验证、用户管理系统。在版本 1.3.0 之前,根据一些前提条件,`highest_available` 设置会错误地假设用户的最高可用身份验证保证级别(AAL)是 `aal1`,尽管实际上它是 `aal2`。这意味着 `highest_available` 配置会表现得好像用户只有单一因素设置,对于特定的用户而言。因此,他们可以在没有 `aal2` 会话的情况下调用设置和 whoami 端点,尽管这是不应该被允许的。攻击者需要窃取或猜测仅启用 OTP 登录的用户的有效登录 OTP,并且该用户存储的 `available_aal` 值不正确,才能利用此漏洞。会话的其他方面(例如会话的 AAL)没有受到此问题的影响。在 Ory 网络上,只有 0.00066% 的注册用户受到此问题的影响,其中大多数用户似乎是测试用户。他们的相应 AAL 值已被更新,不再容易受到此攻击。版本 1.3.0 未受此问题影响。作为解决方法,需要多重身份验证的用户应该禁用无密码代码登录方法。如果这是不可能的,请检查会话的 AAL,以确定用户是否具有 `aal1` 或 `aal2`。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/ory/kratos/security/advisories/GHSA-wc43-73w7-x2f5 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-287 | 认证机制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论