Katalog CVE

CVE-2026-56450

ŚrednieCVSS 5.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 25 — wyżej niż 25% wszystkich znanych CVE

Streszczenie

AIL nie ograniczał powtarzających się nieudanych prób weryfikacji kodu uwierzytelniania dwuskładnikowego (OTP). Atakujący, który dotarł do etapu weryfikacji 2FA, mógł zgłaszać nieograniczoną liczbę prób odgadnięcia kodu OTP, co mogło prowadzić do nieautoryzowanego dostępu do konta.

Ocena ryzyka

Brak ograniczeń w próbach weryfikacji kodu OTP stwarza ryzyko, że atakujący może uzyskać dostęp do konta użytkownika, omijając drugi czynnik uwierzytelniający.

Rekomendacja

Zaleca się wdrożenie łatki, która wprowadza śledzenie nieudanych prób OTP na poziomie użytkownika oraz blokuje weryfikację po 30 nieudanych próbach przez godzinę.

Oryginalny opis (angielski, źródło NVD)

AIL did not restrict repeated failed attempts to verify a two-factor authentication (OTP) code. An attacker who had reached the 2FA verification step, such as after successfully completing the password-authentication stage, could submit an unlimited number of OTP guesses. This could enable brute-force guessing of a valid code and bypass the intended second authentication factor, resulting in unauthorized account access. The patch introduces per-user failed-OTP tracking, blocks verification after 30 failed attempts for one hour, clears the counter after a successful OTP verification, and provides administrator recovery actions to purge affected lockouts.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS