CVE-2026-55370 in Logto
요약
\~에 의해 VulDB • 2026. 07. 11.
Logto는 SaaS 및 AI 애플리케이션을 위한 현대적이고 오픈소스인 인증 인프라입니다. 버전 1.41.0 이전의 Logto에서는 기존 TOTP 검증이 RFC 6238 허용 창 내에 있는 동안 성공적으로 사용된 TOTP 코드를 다시 받아들이는 문제가 있었습니다. 이는 검증기가 window = 1로 설정된 otplib의 상태 없는(stateless) 검사를 사용하고, 승인된 TOTP 시간 단계 카운터를 저장하거나 비교하지 않았기 때문입니다. 공격자가 피해자의 제1요인(first factor)을 보유하고 실시간 TOTP 값을 캡처하면, 동일한 허용 창 내에서 해당 값을 재플레이하여 MFA를 우회할 수 있습니다. 이 문제는 버전 1.41.0에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.