ChainCatcher のメッセージ、アイデンティティおよびアクセス管理ソフトウェアプロバイダーの Okta が公式に発表したところによると、2024 年 10 月 30 日に内部で AD/LDAP DelAuth のキャッシュキー生成時に存在する脆弱性が発見されました。Bcrypt アルゴリズムがキャッシュキーの生成に使用されており、ここで userId + ユーザー名 + パスワードの組み合わせ文字列をハッシュ処理しています。特定の条件下では、ユーザーは以前に成功した認証の保存されたキャッシュキーをユーザー名に提供することで認証を行うことが可能です。この脆弱性の前提は、ユーザーのキャッシュキーを生成するたびに、ユーザー名が 52 文字以上でなければならないことです。影響を受ける製品とバージョンは、2024 年 7 月 23 日までの Okta AD/LDAP DelAuth であり、この脆弱性は 2024 年 10 月 30 日に Okta の本番環境で修正されました。