Sécurité
Pages enfant
  • ESUP-2026-AVI-001 - Vulnérabilité dans esup-otp-api

Comparaison des versions

Ancienne version 13

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Objet

Vulnérabilité dans esup-otp-api

Référence

ESUP-2026-AVI-001

Date de la première version

19 mars 2026

Date de la dernière version

20 mars 2026

Source

Université Paris 1 Panthéon-Sorbonne

Diffusion de cette version

Publique

Historique

  • 18 mars 2026 : faille détectée par Florian Nari
  • 19 mars 2026 : correction d'esup-otp-api en 2.2.2 (Florian Nari)
  • 19 mars 2026 : amélioration de la correction d'esup-otp-api en 2.2.3 (Florian Nari)
  • 19 mars 2026 : validation de la correction (Aymar Anli, Pascal Rigaux, Florian Nari)
  • 20 mars 2026 : validation de la correction (Vincent Bonamy) 

Planning prévisionnel

Planning prévisionnel

-

Pièces jointes

-

Risque

  • Possibilité de valider la demande de MFA (Multi Factor Authentication) à la place de l'utilisateur légitime

...

Cette vulnérabilité permet à un attaquant, disposant des identifiants de la victime, de valider la demande de MFA sans possession du téléphone avec esup auth configuréEsup Auth configuré (second facteur).

Complexité d'exploitation

...

Les administrateurs système doivent mettre à jour esup-otp-api vers la version 2.2.3 ou ultérieure qui corrige ce problème.

Cf https://github.com/EsupPortail/esup-otp-api/#updating

...

esup-otp-api jusqu'à 2.2.2 (incluse).

Analyse des logs

Une analyse des logs d'accès peut permettre de déterminer si la faille a été exploitée : tout GET avec réponse en 200 sur /users/:uid/methods/push/:lt/:hash est à considérer comme illégitime si :lt contient moins de 10 caractères .

...