Plateforme
other
Composant
openolat
Corrigé dans
10.5.5
La vulnérabilité CVE-2026-31946 est un contournement d'authentification critique découvert dans OpenOLAT, une plateforme d'apprentissage en ligne open source. Cette faille permet à un attaquant de contourner les mécanismes d'authentification, compromettant potentiellement la sécurité des données et des fonctionnalités de la plateforme. Elle affecte les versions de OpenOLAT comprises entre 10.5.4 et 20.2.5 (excluant 20.2.5) et une correction est disponible dans la version 20.2.5.
Cette vulnérabilité d'authentification contournée permet à un attaquant non authentifié d'accéder aux fonctionnalités protégées d'OpenOLAT sans avoir besoin d'identifiants valides. L'attaquant peut exploiter cette faille pour compromettre des données sensibles, modifier des contenus de cours, ou même prendre le contrôle de la plateforme. L'absence de vérification des signatures JWT dans le flux OpenID Connect implicit flow rend la plateforme particulièrement vulnérable. Un attaquant pourrait créer un JWT malveillant, en omettant la vérification de la signature, et ainsi se faire passer pour un utilisateur légitime, ouvrant la porte à des actions malicieuses. Cette vulnérabilité présente un risque élevé, similaire à d'autres failles d'authentification contournée qui ont permis des intrusions majeures dans des systèmes d'apprentissage en ligne.
Cette vulnérabilité a été publiée le 2026-03-30. Il n'y a pas d'indication d'une entrée dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme élevée en raison de la simplicité de l'exploitation et de la criticité de la vulnérabilité. Des preuves de concept (PoC) pourraient rapidement être développées et rendues publiques, augmentant le risque d'exploitation. Consultez le rapport NVD pour plus d'informations.
Educational institutions and organizations using OpenOLAT for online learning are at significant risk. Specifically, those relying on OpenID Connect for authentication and using versions between 10.5.4 and 20.2.4 are particularly vulnerable. Shared hosting environments where OpenOLAT instances are deployed alongside other applications could also be affected if proper isolation is not in place.
• linux / server: Monitor OpenOLAT logs for JWT requests lacking a signature or with invalid claims. Use journalctl -u openolat to filter for relevant log entries.
journalctl -u openolat | grep -i "JWT signature" -i "invalid claim"• generic web: Use curl to test OpenID Connect endpoints with crafted JWTs lacking signatures to see if they are accepted.
curl -H "Authorization: Bearer <malformed_jwt>" <openid_connect_endpoint>• database (mysql): If OpenOLAT stores JWTs in the database (check configuration), query the relevant tables for JWTs without a signature field or with suspicious claim values. (Specific query depends on OpenOLAT's database schema).
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenOLAT vers la version 20.2.5 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est fortement recommandé de désactiver temporairement le flux OpenID Connect implicit flow jusqu'à ce que la mise à jour puisse être effectuée. En attendant, assurez-vous que les configurations OpenID Connect sont correctement sécurisées et que les paramètres de confiance sont strictement contrôlés. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte liée à l'authentification. Après la mise à jour, vérifiez que la signature JWT est correctement validée en examinant les journaux et en effectuant des tests d'authentification.
Mettez à jour OpenOLAT à la version 20.2.5 ou supérieure. Cette version corrige la vulnérabilité de contournement de l'authentification en vérifiant correctement les signatures JWT dans le flux implicite de OIDC.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-31946 is a critical vulnerability in OpenOLAT allowing attackers to bypass authentication by manipulating JWT signatures. Versions 10.5.4 through 20.2.4 are affected, potentially granting unauthorized access.
If you are running OpenOLAT versions 10.5.4 to 20.2.4, you are potentially affected. Verify your version and upgrade immediately if vulnerable.
Upgrade OpenOLAT to version 20.2.5 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation if immediate upgrade is not possible.
While no active exploitation has been confirmed publicly, the vulnerability's ease of exploitation suggests it is likely to be targeted. Monitor your systems closely.
Refer to the official OpenOLAT security advisory for detailed information and updates: [https://www.openolat.org/security-advisories](https://www.openolat.org/security-advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.