フォアサイトニュースによると、SlowMistの最高情報セキュリティ責任者23pdsは、Oktaが52文字を超える任意のユーザー名でログインをバイパスできることを報告しました。
さらに、アイデンティティおよびアクセス管理ソフトウェアプロバイダーのOktaは、10月30日にAD/LDAP DelAuthのキャッシュキーを生成する際に内部の脆弱性が発見されたと発表しました。Bcryptアルゴリズムは、userId、ユーザー名、およびパスワードの組み合わせ文字列をハッシュしてキャッシュキーを生成するために使用されました。特定の条件下では、ユーザーが以前の成功した認証から保存されたキャッシュキーを提供することで認証できる可能性があります。この脆弱性の前提条件は、キャッシュキーがユーザーのために生成されるたびに、ユーザー名が52文字以上である必要があるということでした。影響を受けた製品とバージョンは、2024年7月23日までのOkta AD/LDAP DelAuthでした。この脆弱性は、2024年10月30日にOktaの本番環境で解決されました。