製品・ソフトウェアに関する情報

Vulnerability Search

ベンダー検索

Product/Service Search

JVN Vulnerability Search Top

->

JVN脆弱性詳細

MISPにおける認証に関する脆弱性

Title	MISPにおける認証に関する脆弱性
Summary	LDAP混合認証が有効でOTP強制が設定されている場合に、MISPで認証バイパスの脆弱性が存在します。LdapAuth.mixedAuth=trueおよびSecurity.require_otp=trueに設定された環境では、LDAPなどの認証プラグインを通じて認証されたユーザーは、通常のログインフローでOTPチャレンジが強制される前のアプリケーションのbeforeFilterフェーズで認証済みセッションを確立してしまう可能性があります。これにより、有効な一次認証資格情報を持つ攻撃者は、プラグインにより支援されたログインフローを通じて認証し、OTP検証ページを完了せずに直接別のアプリケーションのURLにアクセスすることで、必要なOTPステップを回避できます。このため、有効なTOTP、HOTP、またはメールOTPコードを提供しなくても影響を受けるユーザーとしてアプリケーションにアクセス可能となります。本問題はプラグインベースの認証が有効で、OTPが必須とされる構成に影響します。修正により、プラグイン認証直後かつユーザーセッションを確立する前にOTP要件の確認が行われ、必要に応じてユーザーは適切なOTPチャレンジへリダイレクトされるようになります。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date	June 2, 2026, midnight
Registration Date	June 17, 2026, 3:35 p.m.
Last Update	June 17, 2026, 3:35 p.m.

CVSS3.0 : 緊急
Score	10
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Affected System

MISP

MISP 2.5.39 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-10611	https://www.cve.org/CVERecord?id=CVE-2026-10611
National Vulnerability Database (NVD)
2	CVE-2026-10611	https://nvd.nist.gov/vuln/detail/CVE-2026-10611

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html
2	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

その他

No	Name	URL
関連文書
1	fix: [security] prevent otp bypass when LdapAuth.mixedAuth=true and S… MISP/MISP@39b3cb1 GitHub	https://github.com/MISP/MISP/commit/39b3cb15aac4318afdd2ab63b96c2eac12b271fe

Change Log

No	Changed Details	Date of change
1	[2026年06月17日] 掲載	June 17, 2026, 3:35 p.m.

NVD Vulnerability Information

CVE-2026-10611

Summary	An authentication bypass vulnerability exists in MISP when LDAP mixed authentication is enabled with OTP enforcement. In deployments configured with LdapAuth.mixedAuth=true and Security.require_otp=true, users authenticated through an authentication plugin, such as LDAP, may have their authenticated session established during the application beforeFilter phase before the normal login flow enforces the OTP challenge. As a result, an attacker with valid primary authentication credentials could bypass the required OTP step by authenticating through the plugin-backed login flow and then directly accessing another application URL instead of completing the OTP verification page. This allows access to the application as the affected user without providing a valid TOTP, HOTP, or email OTP code. The issue affects configurations where plugin-based authentication is enabled and OTP is expected to be mandatory. The fix ensures that OTP requirements are checked immediately after plugin authentication and before the user session is established, redirecting users to the appropriate OTP challenge when required.
Publication Date	June 2, 2026, 11:16 p.m.
Registration Date	June 3, 2026, 4:18 a.m.
Last Update	June 2, 2026, 11:47 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/MISP/MISP/commit/39b3cb15aac4318afdd2ab63b96c2eac12b271fe	5a6e4751-2f3f-4070-9419-94fb35b644e8

Common Vulnerabilities List