CVE-2024-8796

Nome do software vulnerável e versões afetadas:

Devise-Two-Factor versões 1.0.0 ou >= 2.2.0 até < 6.0.0

Descrição:

Na configuração padrão, o Devise-Two-Factor gera segredos compartilhados TOTP de 120 bits, em vez do mínimo de 128 bits definido pela RFC 4226. O uso de um segredo compartilhado menor que o mínimo para gerar um código de autenticação multifatorial pode facilitar que um invasor adivinhe o segredo compartilhado e gere códigos TOTP válidos.

Recomendações:

Para as versões 1.0.0 ou >= 2.2.0 até < 6.0.0 do Devise-Two-Factor, atualize para a versão v6.0.0 o mais rápido possível.

Se a atualização não for possível, substitua o atributo padrão otp secret length no modelo ao configurar two factor authenticable e defina-o com um valor de pelo menos 26 para garantir que os segredos compartilhados recém-gerados tenham pelo menos 128 bits de comprimento.

Após a atualização ou a implementação da solução alternativa, considere migrar os usuários para o novo comprimento de OTP a fim de oferecer maior proteção a essas contas.

Implemente uma lógica de aplicação que verifique o comprimento do segredo compartilhado do usuário e solicite que os usuários se recadastram no OTP.