Sécurité
Pages enfant
  • ESUP-2025-AVI-002 - Vulnérabilité dans esup-papercut

Comparaison des versions

Ancienne version 13

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version 14

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.
Commentaire: Ajout d'une requête SQL sur les logs en base de données pour vérifier une éventuelle compromission.

...

Objet

Vulnérabilité dans esup-papercut

Référence

ESUP-2025-AVI-002

Date de la première version

26 mars 2025

Date de la dernière version

27 28 mars 2025

Source

Université de Limoges

Diffusion de cette version

Correspondants sécurité du consortium ESUP-Portail

Historique

  • 21 mars 2025 : faille détectée par Mikkel Almonteringaud, étudiant en cybersécurité à l'Université de Limoges.
  • 25 mars 2025 : réception de la faille par le RSSI de l'Université de Limoges (Renaud Dardilhac).
  • 26 mars 2025 : réception et test de la faille côté ESUP (Vincent Bonamy).
  • 26 mars 2025 : correction d'esup-papercut en 2.1.0 (Vincent Bonamy)
  • 26/27 mars 2025 : rédaction de l'avis ESUP-2025-AVI-002
  • 27 mars 2025 : envoi de l'avis de sécurité à securite@esup-portail.org

Planning prévisionnel

  • 2 avril 2025 : envoi de l'avis de sécurité à esup-utilisateurs@esup-portail.org

Pièces jointes

-

...

Si vous ne pouvez pas mettre à jour votre esup-papercut et que vous n'utilisez pas izlypay, vous pouvez interdire les urls URL en /izlypaycallback au niveau de votre frontal ; une solution simple est de bloquer toutes les URL contenant izlypaycallback par exemple sous Apache : 

...

Une analyse des logs d'accès peut permettre de déterminer si la faille a été exploitée : tout POST avec réponse en 200 sur une url finissant en /izlypaycallback et dont l'IP ne correspond pas à un serveur izly (crous) est à considérer comme illégitime.

Si vous n'avez pas mis en place izlypay dans votre esup-papercut, les logs en base de données peuvent rapidement vous permettre d'identifier un paiement illégitime, d'autant que, même si vous les avez anonymisés via la procédure interne d'esup-papercut, le mode de paiement est conservé.
Ainsi la requête SQL suivante ne doit vous renvoyer aucun résultat (à condition que vous n'utilisiez pas vous-même IzlyPay, mais uniquement le paiement par Paybox) :

Bloc de code
languagesql
select * from public.pay_papercut_transaction_log where pay_mode='IZLYPAY';

Liens

...