Null-password (SSO/LDAP-only) accounts: bcrypt throw → 500 on /api/auth/login, leaky 401 + brute-force-limiter evasion on /mcp #70

New Issue

Closed

opened 2026-06-21 02:03:57 +03:00 by Ghost · 0 comments

Ghost commented 2026-06-21 02:03:57 +03:00

Copy Link

Кратко

Аккаунты без локального пароля (users.password IS NULL — SSO / LDAP-only пользователи) при попытке аутентификации по паролю приводят к исключению внутри bcrypt вместо чистого отказа в доступе.

verifyUserCredentials() пропускает такого пользователя через guard и передаёт null в bcrypt.compare(), который реджектит промис с Error: data and hash arguments required. Это не HttpException, поэтому:

• на стандартном POST /api/auth/login — необработанная ошибка → HTTP 500 (а не 401);
• на /mcp (HTTP Basic) — ошибка ловится и оборачивается в UnauthorizedException с протекающим сообщением ("data and hash arguments required") и, главное, обходит brute-force-лимитер (см. ниже).

Severity: low (это не обход аутентификации — войти под SSO-only аккаунтом по паролю всё равно нельзя). Но это дефект обработки ошибок + side-channel: оракул для перечисления SSO-only аккаунтов и уклонение от счётчика перебора.

Найдено в ходе security-review (находка #15).

Первопричина

apps/server/src/database/types/db.d.ts:376 — колонка пароля nullable:

password: string | null;

apps/server/src/core/auth/services/auth.service.ts:87-115 — guard покрывает только отсутствующего/деактивированного пользователя, но не null-пароль:

async verifyUserCredentials(loginDto, workspaceId): Promise<User> {
  const user = await this.userRepo.findByEmail(loginDto.email, workspaceId, {
    includePassword: true,
  });

  const errorMessage = CREDENTIALS_MISMATCH_MESSAGE;
  if (!user || isUserDisabled(user)) {            // <-- null-пароль сюда НЕ попадает
    await comparePasswordHash(loginDto.password, DUMMY_PASSWORD_HASH);
    throw new UnauthorizedException(errorMessage);
  }

  const isPasswordMatch = await comparePasswordHash(
    loginDto.password,
    user.password,                                 // <-- user.password === null для SSO/LDAP-only
  );
  ...
}

isUserDisabled() (common/helpers/utils.ts) проверяет только deactivatedAt/deletedAt, пароль не смотрит — значит включённый SSO-only пользователь проходит guard и доходит до comparePasswordHash(pw, null).

comparePasswordHash (common/helpers/utils.ts:14) — тонкая обёртка над нативным bcrypt (^6.0.0):

export async function comparePasswordHash(plainPassword: string, passwordHash: string): Promise<boolean> {
  return bcrypt.compare(plainPassword, passwordHash);
}

Проверено фактическое поведение нативного bcrypt:

$ node -e "require('bcrypt').compare('x', null).catch(e=>console.log(e.message))"
data and hash arguments required

Глобального exception-фильтр�� в apps/server/src/main.ts нет, поэтому на стандартном login-пути реджект становится дефолтным 500.

Затронутые поверхности

1. POST /api/auth/login → auth.controller.ts:103 → authService.login() → verifyUserCredentials(). Нет try/catch и нет глобального фильтра → HTTP 500 Internal Server Error для SSO/LDAP-only аккаунта (вместо 401). Это и есть «500 вместо 401».

2. /mcp HTTP Basic → integrations/mcp/mcp-auth.helpers.ts:577-610. Реджект ловится в catch и ре-кидается как UnauthorizedException(err.message):

   • сообщение "data and hash arguments required" уходит клиенту → info-leak / оракул: по нему (и по поведению лимитера) SSO-only аккаунт отличим от обычного «неверный пароль»;
   • isCredentialsFailure(err) возвращает false (сообщение ≠ CREDENTIALS_MISMATCH_MESSAGE), поэтому deps.limiter.recordFailure(...) НЕ вызывается → попытки против SSO-only аккаунта не учитываются brute-force-лимитером (обход счётчика).

Воспроизведение

1. Завести/иметь пользователя с password = NULL (SSO/LDAP-only).
2. POST /api/auth/login c его email и любым паролем → 500 (ожидается 401 с обычным сообщением).
3. Через /mcp с Authorization: Basic <email:любой_пароль> → 401 с телом "data and hash arguments required", при этом счётчик перебора по этому email/IP не растёт.

Предлагаемый фикс

Трактовать null/пустой user.password так же, как отсутствующего пользователя — выполнить dummy-сравнение (для паритета по времени) и бросить тот же унифицированный credentials-error:

// auth.service.ts, verifyUserCredentials
if (!user || isUserDisabled(user) || !user.password) {
  // SSO/LDAP-only accounts have no local password hash: never feed null to
  // bcrypt (it rejects), and keep timing/branch identical to the wrong-user path
  // so the credentials error is uniform (recognised by isCredentialsFailure on /mcp).
  await comparePasswordHash(loginDto.password, DUMMY_PASSWORD_HASH);
  throw new UnauthorizedException(errorMessage);
}

Эффект:

• стандартный login отдаёт чистый 401 (нет 500);
• /mcp отдаёт унифицированное сообщение CREDENTIALS_MISMATCH_MESSAGE → isCredentialsFailure снова true → brute-force-лимитер корректно инкрементируется, оракул закрыт;
• тайминг-паритет сохранён (ровно одно bcrypt-сравнение на всех ветках).

Дополнительно проверить родственный путь changePassword() (auth.service.ts:167-173), где user.password тоже передаётся в comparePasswordHash после guard if (!user || isUserDisabled(user)) — для SSO-only аккаунта там та же проблема.

Желательно покрыть тестом в verify-user-credentials.contract.spec.ts (вернуть унифицированный 401 для password === null, без throw из bcrypt).

## Кратко Аккаунты без локального пароля (`users.password IS NULL` — SSO / LDAP-only пользователи) при попытке аутентификации по паролю приводят к **исключению внутри bcrypt** вместо чистого отказа в доступе. `verifyUserCredentials()` пропускает такого пользователя через guard и передаёт `null` в `bcrypt.compare()`, который **реджектит** промис с `Error: data and hash arguments required`. Это не `HttpException`, поэтому: - на стандартном `POST /api/auth/login` — необработанная ошибка → **HTTP 500** (а не 401); - на `/mcp` (HTTP Basic) — ошибка ловится и оборачивается в `UnauthorizedException` с **протекающим сообщением** (`"data and hash arguments required"`) и, главное, **обходит brute-force-лимитер** (см. ниже). Severity: **low** (это не обход аутентификации — войти под SSO-only аккаунтом по паролю всё равно нельзя). Но это дефект обработки ошибок + side-channel: оракул для перечисления SSO-only аккаунтов и уклонение от счётчика перебора. Найдено в ходе security-review (находка #15). ## Первопричина `apps/server/src/database/types/db.d.ts:376` — колонка пароля nullable: ```ts password: string | null; ``` `apps/server/src/core/auth/services/auth.service.ts:87-115` — guard покрывает только отсутствующего/деактивированного пользователя, но **не** `null`-пароль: ```ts async verifyUserCredentials(loginDto, workspaceId): Promise<User> { const user = await this.userRepo.findByEmail(loginDto.email, workspaceId, { includePassword: true, }); const errorMessage = CREDENTIALS_MISMATCH_MESSAGE; if (!user || isUserDisabled(user)) { // <-- null-пароль сюда НЕ попадает await comparePasswordHash(loginDto.password, DUMMY_PASSWORD_HASH); throw new UnauthorizedException(errorMessage); } const isPasswordMatch = await comparePasswordHash( loginDto.password, user.password, // <-- user.password === null для SSO/LDAP-only ); ... } ``` `isUserDisabled()` (`common/helpers/utils.ts`) проверяет только `deactivatedAt`/`deletedAt`, пароль не смотрит — значит включённый SSO-only пользователь проходит guard и доходит до `comparePasswordHash(pw, null)`. `comparePasswordHash` (`common/helpers/utils.ts:14`) — тонкая обёртка над нативным `bcrypt` (`^6.0.0`): ```ts export async function comparePasswordHash(plainPassword: string, passwordHash: string): Promise<boolean> { return bcrypt.compare(plainPassword, passwordHash); } ``` Проверено фактическое поведение нативного bcrypt: ``` $ node -e "require('bcrypt').compare('x', null).catch(e=>console.log(e.message))" data and hash arguments required ``` Глобального exception-фильтр�� в `apps/server/src/main.ts` нет, поэтому на стандартном login-пути реджект становится дефолтным 500. ## Затронутые поверхности 1. **`POST /api/auth/login`** → `auth.controller.ts:103` → `authService.login()` → `verifyUserCredentials()`. Нет try/catch и нет глобального фильтра → **HTTP 500 Internal Server Error** для SSO/LDAP-only аккаунта (вместо 401). Это и есть «500 вместо 401». 2. **`/mcp` HTTP Basic** → `integrations/mcp/mcp-auth.helpers.ts:577-610`. Реджект ловится в catch и ре-кидается как `UnauthorizedException(err.message)`: - сообщение `"data and hash arguments required"` уходит клиенту → **info-leak / оракул**: по нему (и по поведению лимитера) SSO-only аккаунт отличим от обычного «неверный пароль»; - `isCredentialsFailure(err)` возвращает **false** (сообщение ≠ `CREDENTIALS_MISMATCH_MESSAGE`), поэтому `deps.limiter.recordFailure(...)` НЕ вызывается → попытки против SSO-only аккаунта **не учитываются brute-force-лимитером** (обход счётчика). ## Воспроизведение 1. Завести/иметь пользователя с `password = NULL` (SSO/LDAP-only). 2. `POST /api/auth/login` c его email и любым паролем → **500** (ожидается 401 с обычным сообщением). 3. Через `/mcp` с `Authorization: Basic <email:любой_пароль>` → **401** с телом `"data and hash arguments required"`, при этом счётчик перебора по этому email/IP не растёт. ## Предлагаемый фикс Трактовать `null`/пустой `user.password` так же, как отсутствующего пользователя — выполнить dummy-сравнение (для паритета по времени) и бросить тот же унифицированный credentials-error: ```ts // auth.service.ts, verifyUserCredentials if (!user || isUserDisabled(user) || !user.password) { // SSO/LDAP-only accounts have no local password hash: never feed null to // bcrypt (it rejects), and keep timing/branch identical to the wrong-user path // so the credentials error is uniform (recognised by isCredentialsFailure on /mcp). await comparePasswordHash(loginDto.password, DUMMY_PASSWORD_HASH); throw new UnauthorizedException(errorMessage); } ``` Эффект: - стандартный login отдаёт чистый **401** (нет 500); - `/mcp` отдаёт унифицированное сообщение `CREDENTIALS_MISMATCH_MESSAGE` → `isCredentialsFailure` снова true → brute-force-лимитер корректно инкрементируется, оракул закрыт; - тайминг-паритет сохранён (ровно одно bcrypt-сравнение на всех ветках). Дополнительно проверить родственный путь `changePassword()` (`auth.service.ts:167-173`), где `user.password` тоже передаётся в `comparePasswordHash` после guard `if (!user || isUserDisabled(user))` — для SSO-only аккаунта там та же проблема. Желательно покрыть тестом в `verify-user-credentials.contract.spec.ts` (вернуть унифицированный 401 для `password === null`, без throw из bcrypt).

Ghost added the bugsecurity labels 2026-06-21 02:27:18 +03:00

Ghost referenced this issue 2026-06-21 02:33:12 +03:00

mcp-auth: check-then-act гонка позволяет конкурентным запросам обойти порог brute-force лимитера /mcp #83

Ghost referenced this issue 2026-06-21 02:33:14 +03:00

arch/mcp-auth: устранить дрейф между enforceBasicLoginGate и AuthController.login (общий pre-token гейт или coupling-тест) #91

Ghost referenced this issue from a commit 2026-06-21 03:18:09 +03:00

fix(auth): handle null-password (SSO/LDAP-only) accounts without bcrypt throw (#70)

Ghost referenced this issue 2026-06-21 04:19:31 +03:00

fix: review/red-team batch 2 — 30 issues (security, ws, page-templates, html-embed, mcp, tests, docs) #101

Ghost closed this issue 2026-06-21 14:10:30 +03:00

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

main

test/244-part-b

fix/255-ws-redis-adapter-leak

feat/251-intentional-clear

fix/252-e2e-open-handles

feat/184-autonomous-agent-runs

feat/221-image-captions

feat/git-sync

refactor/193-tool-spec-registry

fix/244-dataloss-bugs

fix/embeddings-reindex-progress

develop

feature/offline-sync

feat/229-catalog-yaml

feat/243-blob-sandbox

feat/228-inline-footnotes

fix/qa-ui-bugs-216-218

feature/agent-roles-catalog

fix/share-alias-rename

fix/ai-chat-empty-render

feat/191-chat-doc-binding

feat/201-temporary-notes

feat/198-interrupt-agent

feat/ai-chat-full-history

feat/199-ai-generate-title

feat/205-share-aliases

batch/issues-189-187-170

feat/170-mcp-test-button

feat/189-context-badge

feat/198-interrupt-agent-send-now

fix/issues-190-159

fix/ai-chat-new-chat-during-stream

fix/ai-chat-stream-perf

batch/issues-2026-06-25

feat/ai-chat-persistent-history

fix/ai-chat-copy-chat-wysiwyg

fix/ai-stream-reset-resilience

fix/ai-stream-undici-timeout

fix/footnote-review-1227-followup

fix/ai-chat-token-counter-realtime

docs/manual-qa-test-plan

v0.94.1

v0.94.0

v0.93.0

Labels

Clear labels

bug

Something isn't working

documentation

Improvements or additions to documentation

duplicate

This issue or pull request already exists

enhancement

New feature or request

epic

Large multi-phase effort spanning many changes

feature

New functionality request

good first issue

Good for newcomers

help wanted

Extra attention is needed

idea

Idea / proposal for discussion

invalid

This doesn't seem right

needs-human

эскалация: нужно решение человека

question

Further information is requested

refactor

Code cleanup / refactoring

review/approved

в последнем ревью нет открытых blocking-находок

review/changes-requested

последнее ревью оставило открытые blocking-находки

review/needs

head не ревьюился (head != reviewed_head)

security

Security / hardening issue

status/blocked

ждёт зависимость blocked_by

status/done

закрыто и проверено

status/in-progress

в активной работе (мягкая заявка)

status/ready

специфицировано, не заблокировано, ждёт исполнителя

test

Test coverage / test infrastructure

wontfix

This will not be worked on

No Label bug security

Milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

agent_coder agent_reviewer vvzvlad

No Assignees

1 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: vvzvlad/gitmost#70