CVE-2026-55377 in logtoinfo

Zusammenfassung

von VulDB • 10.07.2026

Logto ist die moderne Open-Source-Authentifizierungsinfrastruktur für SaaS- und KI-Anwendungen. Vor Version 1.41.0 akzeptierte der Step-up-Check im Account Center von Logto jeden aktiven Verifizierungseintrag, der dem aktuellen Benutzer gehörte und bei dem `isVerified === true` war. Ein WebAuthn-Registrierungsverifizierungseintrag zum Binden eines neuen Passkeys konnte erstellt und verifiziert werden, indem lediglich ein vorhandener Bearer-Token für die Account API verwendet wurde; dieser Eintrag wurde dann im Header `logto-verification-id` gesendet und von den Routen des Account Center als `identityVerified=true` behandelt. Dies ermöglichte das Verwalten der MFA-Faktoren (Multi-Faktor-Authentifizierung), ohne dass der Besitz eines vorhandenen Passworts, Identifikators oder MFA-Faktors nachgewiesen werden musste. Dieses Problem wurde in Version 1.41.0 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

16.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377603

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!