CVE-2025-66489
Mis à jour :
Cal.com, une solution open-source de planification, présente une vulnérabilité critique
Points Clés :
- Nature de la faille : Contournement d’authentification.
- Logiciel affecté : Cal.com (versions antérieures à 5.9.8).
- Cause : Une logique conditionnelle défectueuse dans le processus d’authentification, spécifiquement dans la fonction
authorize(), qui gère la vérification des identifiants de connexion. - Mécanisme d’exploitation : L’attaquant peut ignorer la vérification du mot de passe lorsqu’un code TOTP (mot de passe à usage unique basé sur le temps) est fourni.
Vulnérabilités :
- CVE-2025-66489 : Contournement d’authentification (CVSS 4.0 Base score : 9.9). La faille permet à un attaquant de contourner la vérification du mot de passe en soumettant n’importe quelle valeur non vide dans le champ
totpCode, conjointement avec l’adresse e-mail de la victime. Même si l’authentification à deux facteurs est activée, le mot de passe est ignoré lors de la validation du code TOTP.
Recommandations :
- Mettre à jour Cal.com vers la version 5.9.8 ou ultérieure pour corriger cette vulnérabilité.