...

Les administrateurs système sont encouragés à mettre à jour esup-otp-api vers la version 2.2.3 ou ultérieure qui corrige ce problème.

Cf https://github.com/EsupPortail/esup-otp-api

Applications concernées

esup-otp-api jusqu'à 2.2.3.

...

Une analyse des logs d'accès peut permettre de déterminer si la faille a été exploitée : tout POST GET avec réponse en 200 sur une url finissant en /izlypaycallback et dont l'IP ne correspond pas à un serveur izly (crous) est à considérer comme illégitime.sur /users/:uid/methods/push/:lt/:hash est à considérer comme illégitime si :lt contient moins de 10 caractères .

Ainsi, dans vos logs HTTP (apache ou nginx par exemple) Si vous n'avez pas mis en place izlypay dans votre esup-papercut, les logs en base de données peuvent rapidement vous permettre d'identifier un paiement illégitime, d'autant que, même si vous les avez anonymisés via la procédure interne d'esup-papercut, le mode de paiement est conservé.
Ainsi la requête SQL suivante ne doit vous renvoyer aucun résultat (à condition que vous n'utilisiez pas vous-même IzlyPay, mais uniquement le paiement par Paybox)  :

grep -E 'GET /users/[^/]+/methods/push/[^/]{1,9}/[^/]+' esup-otp-api-access.logselect * from public.pay_papercut_transaction_log where pay_mode='IZLYPAY';

Liens

• https://www.esup-portail.org/wiki/spaces/EsupPapercut/
• https://github.com/EsupPortail/esup-papercut

...