CVE-2026-55370 in Logto정보

요약

\~에 의해 VulDB • 2026. 07. 11.

Logto는 SaaS 및 AI 애플리케이션을 위한 현대적이고 오픈소스인 인증 인프라입니다. 버전 1.41.0 이전의 Logto에서는 기존 TOTP 검증이 RFC 6238 허용 창 내에 있는 동안 성공적으로 사용된 TOTP 코드를 다시 받아들이는 문제가 있었습니다. 이는 검증기가 window = 1로 설정된 otplib의 상태 없는(stateless) 검사를 사용하고, 승인된 TOTP 시간 단계 카운터를 저장하거나 비교하지 않았기 때문입니다. 공격자가 피해자의 제1요인(first factor)을 보유하고 실시간 TOTP 값을 캡처하면, 동일한 허용 창 내에서 해당 값을 재플레이하여 MFA를 우회할 수 있습니다. 이 문제는 버전 1.41.0에서 수정되었습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 16.

모더레이션

수락

항목

VDB-377602

EPSS

0.00000

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!