CVE-2026-55370 in Logtoinfo

Zusammenfassung

von VulDB • 10.07.2026

Logto ist die moderne, Open-Source-Authentifizierungsinfrastruktur für SaaS- und KI-Anwendungen. Vor Version 1.41.0 akzeptierte Logtos vorhandene TOTP-Verifikation einen erfolgreich verwendeten TOTP-Code erneut, solange der Code noch innerhalb des RFC-6238-Akzeptanzfensters lag, da der Verifizierer die zustandslose Prüfung von otplib mit window = 1 verwendete und den bereits akzeptierten TOTP-Zeitstufen-Zähler weder speicherte noch verglich. Ein Angreifer, der über den ersten Faktor des Opfers verfügt und einen Live-TOTP-Wert abfängt, kann diesen Wert innerhalb desselben Akzeptanzfensters wiederverwenden (Replay), um die Multi-Faktor-Authentifizierung (MFA) zu erfüllen. Dieses Problem wurde in Version 1.41.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

16.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377602

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!