Objet	Vulnérabilité dans esup-otp-api
Référence	ESUP-2026-AVI-001
Date de la première version	19 mars 2026
Date de la dernière version	19 mars 2026
Source	Université Paris 1 Panthéon-Sorbonne
Diffusion de cette version	Publique
Historique	18 mars 2026 : faille détectée par Florian Nari 19 mars 2026 : correction d'esup-otp-api en 2.2.2 (Florian Nari) 19 mars 2026 : amélioration de la correction d'esup-otp-api en 2.2.3 (Florian Nari) 19 mars 2026 : validation de la correction (Aymar Anli, Pascal Rigaux, Florian Nari)
Planning prévisionnel	20 mars 2026 : validation de la correction cas univ-rouen (usage d'esup-otp-cas, Vincent Bonamy) 20 mars 2026 : envoi de l'avis de sécurité à esup-otp-tech@esup-portail.org 20 mars 2026 : envoi de l'avis de sécurité à securite@esup-portail.org
Pièces jointes	-

Description

Une vulnérabilité élevée a été découverte dans l’application esup-otp-api, un logiciel utilisé pour l’authentification double facteur.

...

Sous réserve de compréhension du fonctionnement des WS et d'inspection des requêtes HTTP auprès du serveur esup-otp-api, la complexité d'exploitation est relativement faible, une commande curl permet de récupérer un code otp permettant d'accepter la demande de MFA.

...

Être authentifié avec identifiant et mot de passe de l'utilisateur (cible) ayant activé l'authentification via notifications push.

...

Pages enfant

Comparaison des versions

Ancienne version 11

Nouvelle version 12

Légende

Description

Pages enfant

Pages Avis de sécurité ESUP-2026-AVI-001 - Vulnérabilité dans esup-otp-api Historique de la page

Comparaison des versions

Ancienne version 11

Nouvelle version 12

Légende

Description

Pages
Avis de sécurité
ESUP-2026-AVI-001 - Vulnérabilité dans esup-otp-api

Historique de la page