CVE-2025-66489

Cal.com : Une brèche dans la vérification des identifiants

Une vulnérabilité critique a été découverte dans le logiciel de planification open-source Cal.com, affectant les versions antérieures à la 5.9.8. Elle permet à un attaquant de contourner la vérification du mot de passe lors de l’authentification s’il fournit un code TOTP (mot de passe unique à usage limité basé sur le temps).

Points clés :

• Logiciel affecté : Cal.com (versions antérieures à 5.9.8)
• Type de faille : Contournement d’authentification
• Cause : Logique conditionnelle défectueuse dans la fonction authorize(), spécifiquement dans le fournisseur d’identifiants de connexion.
• Impact : Permet un accès non autorisé aux comptes utilisateurs.

Vulnérabilité :

• CVE : CVE-2025-66489
• Description : Une faille dans le processus de connexion où la fourniture d’un code TOTP, même invalide ou non demandé, peut permettre de contourner la vérification du mot de passe. Cela est dû à une mauvaise gestion des conditions de validation. Le système ignore le mot de passe même lorsque l’authentification à deux facteurs est activée et qu’un code TOTP est soumis.
• Score CVSS 4.0 : 9.9 (Base score), indiquant un niveau de risque critique.

Recommandations :

• Mise à jour : Les utilisateurs de Cal.com doivent impérativement mettre à jour leur logiciel vers la version 5.9.8 ou une version ultérieure, car cette dernière corrige la vulnérabilité.

Source