По данным Foresight News, директор по информационной безопасности SlowMist 23pds сообщил, что Okta позволяет любому имени пользователя, длина которого превышает 52 символа, обходить вход в систему.
Кроме того, поставщик программного обеспечения для управления идентификацией и доступом Okta объявил, что 30 октября была обнаружена внутренняя уязвимость при генерации ключей кэша для AD/LDAP DelAuth. Алгоритм Bcrypt использовался для генерации ключей кэша путем хэширования комбинации строки идентификатора пользователя, имени пользователя и пароля. При определенных условиях это могло позволить пользователям проходить аутентификацию, предоставляя сохраненный ключ кэша из ранее успешной аутентификации. Предпосылкой для этой уязвимости было то, что имя пользователя должно было быть равно или превышать 52 символа каждый раз, когда для пользователя генерировался ключ кэша. Уязвимые продукты и версии: Okta AD/LDAP DelAuth до 23 июля 2024 года. Эта уязвимость была устранена в производственной среде Okta 30 октября 2024 года.
