Foresight News によると、SlowMist の最高情報セキュリティ責任者 23pds は、Okta が 52 文字を超えるユーザー名でログインをバイパスすることを許可していると報告しました。
さらに、アイデンティティおよびアクセス管理ソフトウェアプロバイダーのOktaは、10月30日にAD/LDAP DelAuthのキャッシュキー生成中に内部脆弱性が発見されたと発表しました。キャッシュキーを生成するために、ユーザーID、ユーザー名、パスワードの組み合わせ文字列をハッシュするBcryptアルゴリズムが使用されていました。特定の条件下では、これにより、以前に成功した認証から保存されたキャッシュキーを提供することで、ユーザーが認証できる可能性があります。この脆弱性の前提条件は、ユーザーのキャッシュキーが生成されるたびに、ユーザー名が52文字以上である必要があることです。影響を受ける製品とバージョンは、2024年7月23日までのOkta AD/LDAP DelAuthでした。この脆弱性は、2024年10月30日にOktaの実稼働環境で解決されました。