Vulnérabilité dans Shibboleth : Injection SQL potentielle dans le greffon ODBC

Shibboleth Service Provider, un composant clé pour l'authentification fédérée, est confronté à une nouvelle vulnérabilité. Une recherche récente, annoncée le 4 septembre 2025 par le CERT-FR, a révélé une faille dans le greffon ODBC (Open Database Connectivity) de Shibboleth. Cette vulnérabilité permet à un attaquant malveillant de provoquer une injection SQL (SQL injection). Une injection SQL, c’est une attaque qui permet à un attaquant d'insérer des requêtes SQL non autorisées dans une requête SQL. Cela peut conduire à l'accès, à la modification ou à la suppression de données sensibles stockées dans la base de données sous-jacente. Dans le contexte de Shibboleth, l'exploitation de cette vulnérabilité pourrait compromettre des informations d'authentification et d'autres données confidentielles. Le CERT-FR (Agence Nationale de Sécurité des Systèmes d’Information) a publié un avis sur ce sujet, soulignant l'importance de prendre des mesures immédiates pour corriger cette vulnérabilité. Il est donc crucial pour les administrateurs de systèmes qui utilisent Shibboleth Service Provider de mettre à jour leurs systèmes vers une version corrigée. Vous pouvez consulter l'avis complet et les recommandations du CERT-FR ici : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0753/. Pour plus d'informations sur Shibboleth, vous pouvez consulter leur site officiel : [https://shibboleth.org/](https://shibboleth.org/).