CVE-2026-33667

Name of the Vulnerable Software and Affected Versions OpenProject versões anteriores a 17.3.0

Description A verificação de OTP de autenticação de dois fatores (2FA) na ação 'confirm otp' do módulo two factor authentication não possui limitação de taxa, mecanismo de bloqueio ou rastreamento de tentativas malsucedidas. A configuração brute force block after failed logins conta apenas falhas de login por senha e não se aplica à etapa de 2FA. Além disso, as funções fail login e stage failure não incrementam contadores, não bloqueiam a conta nem introduzem atrasos. Como a janela de derivação padrão do Time-based One-Time Password (TOTP) de ±60 segundos permite vários códigos válidos simultaneamente, um invasor com a senha do usuário pode realizar ataques de força bruta no código TOTP de 6 dígitos. O mesmo problema afeta a verificação de códigos de backup, permitindo potencialmente a bypass completa do 2FA.

Recommendations Atualizar para a versão 17.3.0.