CVE-2024-45042

Versões do Ory Kratos anteriores à 1.3.0

O Ory Kratos é um sistema de identidade, gerenciamento de usuários e autenticação para serviços em nuvem. A configuração highest available assume incorretamente que o nível de garantia de autenticador (AAL) mais alto disponível para a identidade é aal1, em vez de aal2, sob certas condições prévias. Isso permite que os usuários chamem as configurações e o endpoint whoami sem uma sessão aal2. Um invasor precisaria roubar ou adivinhar uma OTP de login válida de um usuário que tenha apenas a OTP para login habilitada e um valor available aal incorreto armazenado para explorar essa vulnerabilidade. Apenas 0,00066% dos usuários registrados na Rede Ory foram afetados, e a maioria eram usuários de teste. Seus valores de AAL foram atualizados e eles não estão mais vulneráveis.

Para versões anteriores à 1.3.0, desative o método de login por código sem senha se a autenticação multifatorial (MFA) for necessária. Se isso não for possível, verifique o aal da sessão para identificar se o usuário possui aal1 ou aal2.