Slow Fogの最高情報セキュリティ責任者である23pdsは、Oktaが52文字以上のユーザー名でログインをバイパスできると述べた。アイデンティティおよびアクセス管理ソフトウェアプロバイダーのOktaは、10 月 30 日にAD/LDAP DelAuth用のキャッシュキー生成に脆弱性が内部で発見されたことを発表しました。Bcryptアルゴリズムを使用してキャッシュキーを生成し、userId +ユーザー名 +パスワードの組み合わせ文字列をハッシュ化します。特定の条件下では、これによりユーザーは以前に認証に成功した保存されたキャッシュキーをユーザー名に提供するだけで認証できます。この脆弱性の前提は、ユーザーのキャッシュキーを生成するたびに、ユーザー名が52文字以上でなければならないことです。影響を受ける製品およびバージョンは、2024 年 7 月 23 日時点のOkta AD/LDAP DelAuthであり、Oktaの本番環境では2024 年 10 月 30 日時点で修正されています。