Sécurité
Pages enfant
  • ESUP-2026-AVI-001 - Vulnérabilité dans esup-otp-api

Comparaison des versions

Ancienne version 16

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Objet

Vulnérabilité dans esup-otp-api

Référence

ESUP-2026-AVI-001

Date de la première version

19 mars 2026

Date de la dernière version

20 mars 2026

Source

Université Paris 1 Panthéon-Sorbonne

Diffusion de cette version

Publique

Historique

  • 18 mars 2026 : faille détectée par Florian Nari
  • 19 mars 2026 : correction d'esup-otp-api en 2.2.2 (Florian Nari)
  • 19 mars 2026 : amélioration de la correction d'esup-otp-api en 2.2.3 (Florian Nari)
  • 19 mars 2026 : validation de la correction (Aymar Anli, Pascal Rigaux, Florian Nari)
  • 20 mars 2026 : validation de la correction (Vincent Bonamy) 

Planning prévisionnel

Planning prévisionnel

-

Pièces jointes

-

Risque

  • Possibilité de valider la demande de MFA (Multi Factor Authentication) à la place de l'utilisateur légitime

...

esup-otp-api jusqu'à 2.2.2 (incluse).

Analyse des logs

Une analyse des logs d'accès peut permettre de déterminer si la faille a été exploitée : tout GET avec réponse en 200 sur /users/:uid/methods/push/:lt/:hash est à considérer comme illégitime si :lt contient moins de 10 caractères .

...