2FA: Behebung von kritischen Lücken
Hanashi
Soeben ist ein neues Update für das Plugin 2-Faktor-Authentisierung erschienen. Es wurde eine kritische Sicherheitslücke geschlossen. Deswegen wird dringend empfohlen das Plugin zu aktualisieren.
Die Backup-Codes wurden nicht korrekt invalidiert. Das heißt, dass ein Backup-Code mehrfach verwendet werden konnte. Wenn also ein Angreifer an einen Backup-Code von einem Benutzer kam (z.B. durch Man-in-the-Middle-Angriff), konnte der Angreifer sich damit nicht nur einloggen, sondern auch Sicherheitsschlüssel entfernen.
Vielen Dank an @Vakarian der mich auf das Problem aufmerksam gemacht hat.