发布日期：2024-09-17
更新日期：2024-11-19

受影响系统：

Devise-Two-Factor Devise-Two-Factor >= 4.0.0 < 6.0.0
Devise-Two-Factor Devise-Two-Factor 1.0.0

描述：

---

CVE(CAN) ID: CVE-2024-8796

Devise-Two-Factor是Devise-Two-Factor开源的一个Devise的极简扩展，用于通过TOTP方案提供对双因素身份验证的支持。
Devise-Two-Factor 1.0.0版本、4.0.0至6.0.0之前版本存在信息泄露漏洞，攻击者可利用该漏洞使用比最小值短的共享密钥来生成多因素身份验证码，进而猜测共享密钥并生成有效的TOTP码。

<**>

建议：

---

厂商补丁：

Devise-Two-Factor
-----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/devise-two-factor/devise-two-factor/security/advisories/GHSA-qjxf-mc72-wjr2

浏览次数：132
严重程度：0（网友投票）