Según Foresight News, el Director de Seguridad de la Información de SlowMist, 23pds, informó que Okta permitió que cualquier nombre de usuario que excediera los 52 caracteres eludiera el inicio de sesión.
Además, el proveedor de software de gestión de identidad y acceso, Okta, anunció que el 30 de octubre se descubrió una vulnerabilidad interna al generar claves de caché para AD/LDAP DelAuth. Se utilizó el algoritmo Bcrypt para generar claves de caché al hash de una cadena combinada de userId, nombre de usuario y contraseña. Bajo condiciones específicas, esto podría permitir a los usuarios autenticarse proporcionando una clave de caché almacenada de una autenticación exitosa anterior. El requisito previo para esta vulnerabilidad era que el nombre de usuario debía ser igual o exceder los 52 caracteres cada vez que se generaba una clave de caché para el usuario. Los productos y versiones afectados fueron Okta AD/LDAP DelAuth hasta el 23 de julio de 2024. Esta vulnerabilidad se resolvió en el entorno de producción de Okta el 30 de octubre de 2024.
