Vulnérabilité SQL Injection dans Shibboleth Service Provider: Patchs Urgents Recommandés

Une vulnérabilité critique de type injection SQL a été récemment découverte dans Shibboleth Service Provider, un composant essentiel de l'authentification federée en France. Plus précisément, la faille se situe dans le greffon ODBC, un élément qui permet à Shibboleth de se connecter à des bases de données externes.

Selon l’avis de sécurité publié par le CERT-SSI, un attaquant pourrait exploiter cette vulnérabilité pour injecter du code SQL malveillant dans les requêtes de base de données. Cela pourrait permettre l’accès non autorisé à des informations sensibles, voire la modification ou la suppression de données.

Les systèmes qui dépendent de Shibboleth Service Provider sont donc particulièrement exposés à ce risque. Il est donc impératif de mettre en place des patchs de sécurité le plus rapidement possible.

L’avis de sécurité fournit des instructions détaillées sur la manière de corriger la vulnérabilité. Nous encourageons fortement tous les administrateurs système à consulter l’avis complet sur cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0753/ pour obtenir les détails nécessaires et appliquer les correctifs nécessaires.

La sécurité des systèmes d'identification fédérés est cruciale, et cette vulnérabilité souligne l'importance d'une vigilance constante et d'une application rapide des mises à jour de sécurité. N'hésitez pas à partager cet article pour sensibiliser vos collègues et contribuer à renforcer la sécurité de nos infrastructures.