Sécurité
Pages enfant
  • ESUP-2026-AVI-001 - Vulnérabilité dans esup-otp-api

Comparaison des versions

Ancienne version 10

changes.mady.by.user Florian Nari

Sauvegardée le

comparé à

Nouvelle version 11

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Objet

Vulnérabilité dans esup-otp-api

Référence

ESUP-2026-AVI-001

Date de la première version

13 19 mars 2026

Date de la dernière version

13 19 mars 2026

Source

Université Paris 1 Panthéon-Sorbonne

Diffusion de cette version

Publique

Historique

  • 18 mars 2026 : faille détectée par Florian Nari, développeur à l'Université Paris 1 Panthéon-Sorbonne.
  • 19 mars 2026 : correction d'esup-otp-api en 2.2.2 (Florian Nari)
  • 19 mars 2026 : amélioration de la correction d'esup-otp-api en 2.2.3 (Florian Nari)
  • 19 mars 2026 : validation de la correction (Aymar Anli, Pascal Rigaux, Florian Nari)

Planning prévisionnel

  • 20 mars 2026 : validation de la correction cas univ-rouen (usage d'esup-otp-cas, Vincent Bonamy) 
  • 20 mars 2026 : envoi de l'avis de sécurité à
    • securite@esup
  • esup-otp-tech@esup-portail.org

Planning prévisionnel

-

Pièces jointes

-

Risque

  • Possibilité de valider la demande de MFA (Multi Factor Authentication) à la place de l'utilisateur légitime

...

  • Cette vulnérabilité affecte l'ensemble des versions esup-otp-api et donc des solutions de MFA utilisant la solution esupotp.

Description

Une vulnérabilité élevée a été découverte dans l’application esup-otp-api, un logiciel utilisé pour l’authentification double facteur.

...

Sous réserve de compréhension du fonctionnement des WS et d'inspection des requêtes HTTP auprès du serveur esup-otp-api, la complexité d'exploitation est relativement faible, une commande curl permet de récupérer un code otp permettant d'accepter la demande de MFA.

Conditions préalables 

Être authentifié avec identifiant et mot de passe d'un utilisateur de utilisateur (cible) ayant activé l'authentification via notifications push.

...

Les administrateurs système sont encouragés à doivent mettre à jour esup-otp-api vers la version 2.2.3 ou ultérieure qui corrige ce problème.

Cf https://github.com/EsupPortail/esup-otp-api/#updating

Applications concernées

esup-otp-api jusqu'à 2.2.3.

...