Sécurité
Pages enfant
  • ESUP-2025-AVI-001 - Vulnérabilité dans esup-otp-cas

Comparaison des versions

Ancienne version 2

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version 3

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

  • Possbilité de contourner la demande de code OTP dans esup-otp-cas 

  • L'exploitation de cette vulnérabilité pourrait permettre à un attaquant ayant déjà réussi à obtenir le mot de passe d'un utilisateur de passer outre l'OTP.

    Solutions et correctifs :
    Les administrateurs système sont fortement encouragés à mettre à jour esup-otp-cas vers la version 1.2.3 ou ultérieure pour corriger ce problème.

Systèmes affectés

  • Cette vulnérabilité affecte potentiellement toutes les versions d'esup-otp-cas installé sur un serveur Apereo CAS.
  • Le serveur esup-otp-cas-server n'est pas concerné.

...

Une vulnérabilité a été découverte dans l’application esup-otp-cas, logiciel utilisé pour l’authentification double facteur.
Cette vulnérabilité permet à un attaquant de ne pas avoir besoin de rentrer un code OTP dans esup-otp-cas pour valider l'authentification lors du facteur esup-otp.

Complexité d'exploitation

Faible, car l'attaquant peut exploiter la vulnérabilité sans compétences techniques particulières.

Conditions préalables 

Être authentifié avec identifiant et mot de passe.

Solutions

Mettre  Les administrateurs système sont fortement encouragés à mettre à jour esup-otp-cas vers la version 1.2.3 ou ultérieure pour corriger ce problème.

Pour mettre à jour esup-otp-cas sur un serveur CAS 7.1.x par exemple, modifiez/adaptez la ligne suivante du fichier build.gradle du serveur CAS :

...