...
Objet | Vulnérabilité dans esup-otp-api |
Référence | ESUP-2026-AVI-001 |
Date de la première version | 19 mars 2026 |
Date de la dernière version | 19 20 mars 2026 |
Source | Université Paris 1 Panthéon-Sorbonne |
Diffusion de cette version | Publique |
Historique | - 18 mars 2026 : faille détectée par Florian Nari
- 19 mars 2026 : correction d'esup-otp-api en 2.2.2 (Florian Nari)
- 19 mars 2026 : amélioration de la correction d'esup-otp-api en 2.2.3 (Florian Nari)
- 19 mars 2026 : validation de la correction (Aymar Anli, Pascal Rigaux, Florian Nari)
| Planning prévisionnel | - 20 mars 2026 : validation de la correction
cas univ-rouen - (
usage d'esup-otp-cas, - Vincent Bonamy)
|
Planning prévisionnel | |
Pièces jointes | - |
Risque
Possibilité de valider la demande de MFA (Multi Factor Authentication) à la place de l'utilisateur légitime
...
Une vulnérabilité a été découverte dans l’application esup-otp-api, un logiciel utilisé pour l’authentification double facteur.
Cette vulnérabilité pourrait permettre permet à un attaquant d'accepter , disposant des identifiants de la victime, de valider la demande de MFA à la place de l'utilisateur légitimesans possession du téléphone avec esup auth configuré.
Complexité d'exploitation
...
Être authentifié avec identifiant et mot de passe de l'utilisateur (cible) ayant activé lla notifications push comme 2ème facteur d'authentification via notifications push.
Solutions
Mise à jour d'esup-otp-api
...
esup-otp-api jusqu'à 2.2.32 (incluse).
Analyse des logs
Une analyse des logs d'accès peut permettre de déterminer si la faille a été exploitée : tout GET avec réponse en 200 sur /users/:uid/methods/push/:lt/:hash est à considérer comme illégitime si :lt contient moins de 10 caractères .
...