Utilisation et diffusion de ce document
Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet | Vulnérabilité dans esup-otp-api |
Référence | ESUP-2026-AVI-001 |
Date de la première version | 19 mars 2026 |
Date de la dernière version | 20 mars 2026 |
Source | Université Paris 1 Panthéon-Sorbonne |
Diffusion de cette version | Publique |
Historique |
|
Planning prévisionnel | - |
Pièces jointes | - |
Risque
Possibilité de valider la demande de MFA (Multi Factor Authentication) à la place de l'utilisateur légitime
Systèmes affectés
- Cette vulnérabilité affecte l'ensemble des versions esup-otp-api et donc des solutions de MFA utilisant la solution ESUP-OTP.
Description
Complexité d'exploitation
Sous réserve de compréhension du fonctionnement des WS et d'inspection des requêtes HTTP, la complexité d'exploitation est relativement faible, une commande curl permet de récupérer un code otp permettant d'accepter la demande de MFA.
Conditions préalables
Solutions
Mise à jour d'esup-otp-api
Les administrateurs système doivent mettre à jour esup-otp-api vers la version 2.2.3 ou ultérieure qui corrige ce problème.
Cf https://github.com/EsupPortail/esup-otp-api/#updating
Applications concernées
esup-otp-api jusqu'à 2.2.2
Analyse des logs
Une analyse des logs d'accès peut permettre de déterminer si la faille a été exploitée : tout GET avec réponse en 200 sur /users/:uid/methods/push/:lt/:hash est à considérer comme illégitime si :lt contient moins de 10 caractères .
Ainsi, dans vos logs HTTP (apache ou nginx par exemple) :
grep -E '"GET /users/[^/]+/methods/push/[^/]{1,9}/[^/]+ HTTP/[0-9.]+"' esup-otp-api-access.log