CVE-2026-55377 in logto
الملخص
بحسب VulDB • 11/07/2026
Logto هو بنية أساسية حديثة ومفتوحة المصدر للمصادقة (auth) مخصصة لتطبيقات SaaS وAI. قبل الإصدار 1.41.0، كانت خطوة التحقق من رفع مستوى المصادقة (step-up check) في مركز الحسابات (Account Center) الخاصة بـ Logto تقبل أي سجل تحقق نشط ينتمي إلى المستخدم الحالي وكان يحتوي على القيمة isVerified === true. يمكن إنشاء وسجل تحقق لتسجيل WebAuthn لربط مفتاح مرور جديد، والتحقق منه باستخدام رمز حامل API للحساب الموجود فقط، ثم إرساله في رأس الطلب logto-verification-id ومعالجته من قبل مسارات مركز الحسابات (Account Center routes) كـ identityVerified=true، مما يتيح إدارة عوامل المصادقة متعددة العوامل (MFA factor management) دون إثبات حيازة كلمة مرور موجودة أو معرّف عامل MFA. تم إصلاح هذه المشكلة في الإصدار 1.41.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.