CVE-2026-55370 in Logto
Zusammenfassung
von VulDB • 10.07.2026
Logto ist die moderne, Open-Source-Authentifizierungsinfrastruktur für SaaS- und KI-Anwendungen. Vor Version 1.41.0 akzeptierte Logtos vorhandene TOTP-Verifikation einen erfolgreich verwendeten TOTP-Code erneut, solange der Code noch innerhalb des RFC-6238-Akzeptanzfensters lag, da der Verifizierer die zustandslose Prüfung von otplib mit window = 1 verwendete und den bereits akzeptierten TOTP-Zeitstufen-Zähler weder speicherte noch verglich. Ein Angreifer, der über den ersten Faktor des Opfers verfügt und einen Live-TOTP-Wert abfängt, kann diesen Wert innerhalb desselben Akzeptanzfensters wiederverwenden (Replay), um die Multi-Faktor-Authentifizierung (MFA) zu erfüllen. Dieses Problem wurde in Version 1.41.0 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.