Plateforme
laravel
Composant
laravel/passport
Corrigé dans
13.0.1
13.7.1
La vulnérabilité CVE-2026-39976 concerne Laravel Passport, une bibliothèque d'authentification OAuth2 pour Laravel. Cette faille permet un contournement d'authentification pour les tokens client_credentials, permettant potentiellement à un token machine-à-machine d'impersonner un utilisateur réel. Elle affecte les versions de Laravel Passport inférieures ou égales à v13.7.0. La correction est disponible dans la version 13.7.1.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant d'accéder aux ressources et aux données d'un utilisateur réel en utilisant un token client_credentials compromis. La bibliothèque league/oauth2-server utilise l'identifiant du client comme revendication sub dans le JWT, et le guard de token ne valide pas que cette valeur est bien un identifiant utilisateur. Cela permet de résoudre un utilisateur existant au lieu du client prévu, donnant à l'attaquant un accès non autorisé. L'utilisation du middleware EnsureClientIsResourceOwner combinée à Passport::$clientUuids défini sur false aggrave le problème en permettant la résolution de l'utilisateur.
Cette vulnérabilité a été publiée le 8 avril 2026. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la complexité de la configuration requise pour exploiter la vulnérabilité et de la nécessité d'un accès aux configurations de Laravel Passport. Il n'est pas listé sur le KEV de CISA.
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour Laravel Passport vers la version 13.7.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible d'atténuer le risque en configurant Passport::$clientUuids sur true pour forcer l'utilisation d'UUIDs pour les clients. Il est également recommandé de renforcer la validation des tokens et de surveiller les activités suspectes. Une analyse des logs d'authentification peut aider à détecter des tentatives d'impersonation.
Mettez à jour Laravel Passport à la version 13.7.1 ou supérieure pour atténuer la vulnérabilité d'authentification par contournement. Cette mise à jour corrige le problème en validant correctement les identifiants utilisateur lors de la génération de tokens client_credentials.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39976 est une vulnérabilité de contournement d'authentification dans Laravel Passport, permettant à des tokens client_credentials d'impersonner des utilisateurs réels. Elle affecte les versions inférieures ou égales à v13.7.0.
Oui, si vous utilisez Laravel Passport dans votre application et que vous êtes sur une version inférieure ou égale à v13.7.0, vous êtes potentiellement affecté. Vérifiez votre version avec composer show laravel/passport.
La solution recommandée est de mettre à jour Laravel Passport vers la version 13.7.1 ou supérieure. En attendant, configurez Passport::$clientUuids sur true.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2026-39976, mais la probabilité d'exploitation est considérée comme moyenne.
Consultez le dépôt GitHub de Laravel Passport pour les détails et les correctifs : [https://github.com/laravel/passport](https://github.com/laravel/passport)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.