Ory Kratos 是一个用于云服务的身份验证、用户管理系统。在版本 1.3.0 之前，根据一些前提条件，`highest_available` 设置会错误地假设用户的最高可用身份验证保证级别（AAL）是 `aal1`，尽管实际上它是 `aal2`。这意味着 `highest_available` 配置会表现得好像用户只有单一因素设置，对于特定的用户而言。因此，他们可以在没有 `aal2` 会话的情况下调用设置和 whoami 端点，尽管这是不应该被允许的。攻击者需要窃取或猜测仅启用 OTP 登录的用户的有效登录 OTP，并且该用户存储的 `available_aal` 值不正确，才能利用此漏洞。会话的其他方面（例如会话的 AAL）没有受到此问题的影响。在 Ory 网络上，只有 0.00066% 的注册用户受到此问题的影响，其中大多数用户似乎是测试用户。他们的相应 AAL 值已被更新，不再容易受到此攻击。版本 1.3.0 未受此问题影响。作为解决方法，需要多重身份验证的用户应该禁用无密码代码登录方法。如果这是不可能的，请检查会话的 AAL，以确定用户是否具有 `aal1` 或 `aal2`。