OpenProject — приложение для управления проектами с открытым исходным кодом. В версиях до 17.3.0 проверка OTP 2FA в действии submit_otp модуля two_factor_authentication не имеет ограничения скорости, механизма блокировки или отслеживания неудачных попыток. Существующий параметр brute_force_block_after_failed_logins учитывает только неудачные попытки входа в систему с паролем и не применяется к этапу проверки 2FA, и ни методыfail_login, ни stage_failure не увеличивают счетчик, не блокируют учетную запись и не добавляют никаких задержек.
Поскольку окно дрейфа TOTP по умолчанию составляет ±60 секунд, что позволяет использовать примерно 5 действительных кодов в любое время, злоумышленник, знающий пароль пользователя, может подобрать 6-значный код TOTP примерно со скоростью 5–10 попыток в секунду с ожидаемым временем завершения примерно 11 часов. Та же уязвимость применима и к проверке резервного кода. Это эффективно позволяет полностью обойти 2FA для любой учетной записи, пароль которой известен.
Эта проблема исправлена в версии 17.3.0.
Показать оригинальное описание (EN)
OpenProject is an open-source project management application. In versions prior to 17.3.0, 2FA OTP verification in the confirm_otp action of the two_factor_authentication module has no rate limiting, lockout mechanism, or failed-attempt tracking. The existing brute_force_block_after_failed_logins setting only counts password login failures and does not apply to the 2FA verification stage, and neither the fail_login nor stage_failure methods increment any counter, lock the account, or add any delay. With the default TOTP drift window of ±60 seconds allowing approximately 5 valid codes at any time, an attacker who knows a user's password can brute-force the 6-digit TOTP code at roughly 5-10 attempts per second with an expected completion time of approximately 11 hours. The same vulnerability applies to backup code verification. This effectively allows complete 2FA bypass for any account where the password is known. This issue has been fixed in version 17.3.0.
Характеристики атаки
Последствия
Строка CVSS v3.1