CVE-2026-56450
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 — wyżej niż 25% wszystkich znanych CVE
Streszczenie
AIL nie ograniczał powtarzających się nieudanych prób weryfikacji kodu uwierzytelniania dwuskładnikowego (OTP). Atakujący, który dotarł do etapu weryfikacji 2FA, mógł zgłaszać nieograniczoną liczbę prób odgadnięcia kodu OTP, co mogło prowadzić do nieautoryzowanego dostępu do konta.
Ocena ryzyka
Brak ograniczeń w próbach weryfikacji kodu OTP stwarza ryzyko, że atakujący może uzyskać dostęp do konta użytkownika, omijając drugi czynnik uwierzytelniający.
Rekomendacja
Zaleca się wdrożenie łatki, która wprowadza śledzenie nieudanych prób OTP na poziomie użytkownika oraz blokuje weryfikację po 30 nieudanych próbach przez godzinę.
Oryginalny opis (angielski, źródło NVD)
AIL did not restrict repeated failed attempts to verify a two-factor authentication (OTP) code. An attacker who had reached the 2FA verification step, such as after successfully completing the password-authentication stage, could submit an unlimited number of OTP guesses. This could enable brute-force guessing of a valid code and bypass the intended second authentication factor, resulting in unauthorized account access. The patch introduces per-user failed-OTP tracking, blocks verification after 30 failed attempts for one hour, clears the counter after a successful OTP verification, and provides administrator recovery actions to purge affected lockouts.

