Garrett Rappaport

Nome do software vulnerável e versões afetadas: Devise-Two-Factor versões 1.0.0 ou >= 2.2.0 até < 6.0.0 Descrição: Na configuração padrão, o Devise-Two-Factor gera segredos compartilhados TOTP de 120 bits, em vez do mínimo de 128 bits definido pela RFC 4226. O uso de um segredo compartilhado menor que o mínimo para gerar um código de autenticação multifatorial pode facilitar que um invasor adivinhe o segredo compartilhado e gere códigos TOTP válidos. Recomendações: Para as versões 1.0.0 ou >= 2.2.0 até < 6.0.0 do Devise-Two-Factor, atualize para a versão v6.0.0 o mais rápido possível. Se a atualização não for possível, substitua o atributo padrão `otp secret length` no modelo ao configurar `two factor authenticable` e defina-o com um valor de pelo menos 26 para garantir que os segredos compartilhados recém-gerados tenham pelo menos 128 bits de comprimento. Após a atualização ou a implementação da solução alternativa, considere migrar os usuários para o novo comprimento de OTP a fim de oferecer maior proteção a essas contas. Implemente uma lógica de aplicação que verifique o comprimento do segredo compartilhado do usuário e solicite que os usuários se recadastram no OTP.