Okta: Vulnerabilidad de Seguridad Crítica "Nombres de Usuario de Más de 52 Caracteres Pueden Eludir la Autenticación de Inicio de Sesión" Corregida

El 2 de noviembre, Okta, un proveedor de software de gestión de identidades y accesos, reveló en una publicación en su sitio web que el 30 de octubre de 2024 se descubrió una vulnerabilidad interna en la generación de claves de caché AD/LDAP DelAuth, que utiliza el algoritmo Bcrypt para generar, en la cual se realiza un hash de la cadena combinada de userId + nombre de usuario + contraseña. Bajo ciertas condiciones, esto podría permitir a un usuario autenticarse solo proporcionando el nombre de usuario con una clave de caché almacenada que fue autenticada previamente con éxito.

Okta dice que esta vulnerabilidad se basa en que el nombre de usuario sea igual o mayor a 52 caracteres cada vez que se genera una clave de caché para el usuario. Los productos y versiones afectados son Okta AD/LDAP DelAuth a partir del 23 de julio de 2024, y la vulnerabilidad se resolvió el 30 de octubre de 2024 en el entorno de producción de Okta.