Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.

Objet	Vulnérabilité dans esup-otp-api
Référence	ESUP-2026-AVI-001
Date de la première version	13 mars 2026
Date de la dernière version	13 mars 2026
Source	Université Paris 1 Panthéon-Sorbonne
Diffusion de cette version	Publique
Historique	18 mars 2026 : faille détectée par Florian Nari, développeur à l'Université Paris 1 Panthéon-Sorbonne. 19 mars 2026 : correction d'esup-otp-api en 2.2.2 (Florian Nari) 19 mars 2026 : amélioration de la correction d'esup-otp-api en 2.2.3 (Florian Nari) 19 mars 2026 : envoi de l'avis de sécurité à securite@esup-portail.org
Planning prévisionnel	-
Pièces jointes	-

Risque

Possibilité de valider la demande de MFA à la place de l'utilisateur légitime

...

Bloc de code

language	shell

grep -E 'GET /users/[^/]+/methods/push/[^/]{1,9}/[^/]+' esup-otp-api-access.log

Liens

https://www.esup-portail.org/wiki/spacesdisplay/EsupPapercut/esupotp
https://github.com/EsupPortail/esup-otp-papercutapi/

Pages enfant

Comparaison des versions

Ancienne version 5

Nouvelle version 6

Légende

Risque

Liens

Pages enfant

Pages Avis de sécurité ESUP-2026-AVI-001 - Vulnérabilité dans esup-otp-api Historique de la page

Comparaison des versions

Ancienne version 5

Nouvelle version 6

Légende

Risque

Liens

Pages
Avis de sécurité
ESUP-2026-AVI-001 - Vulnérabilité dans esup-otp-api

Historique de la page