製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

MISPにおける認証に関する脆弱性

タイトル	MISPにおける認証に関する脆弱性
概要	LDAP混合認証が有効でOTP強制が設定されている場合に、MISPで認証バイパスの脆弱性が存在します。LdapAuth.mixedAuth=trueおよびSecurity.require_otp=trueに設定された環境では、LDAPなどの認証プラグインを通じて認証されたユーザーは、通常のログインフローでOTPチャレンジが強制される前のアプリケーションのbeforeFilterフェーズで認証済みセッションを確立してしまう可能性があります。これにより、有効な一次認証資格情報を持つ攻撃者は、プラグインにより支援されたログインフローを通じて認証し、OTP検証ページを完了せずに直接別のアプリケーションのURLにアクセスすることで、必要なOTPステップを回避できます。このため、有効なTOTP、HOTP、またはメールOTPコードを提供しなくても影響を受けるユーザーとしてアプリケーションにアクセス可能となります。本問題はプラグインベースの認証が有効で、OTPが必須とされる構成に影響します。修正により、プラグイン認証直後かつユーザーセッションを確立する前にOTP要件の確認が行われ、必要に応じてユーザーは適切なOTPチャレンジへリダイレクトされるようになります。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年6月2日0:00
登録日	2026年6月17日15:35
最終更新日	2026年6月17日15:35

CVSS3.0 : 緊急
スコア	10
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

影響を受けるシステム

MISP

MISP 2.5.39 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-10611	https://www.cve.org/CVERecord?id=CVE-2026-10611
National Vulnerability Database (NVD)
2	CVE-2026-10611	https://nvd.nist.gov/vuln/detail/CVE-2026-10611

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html
2	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

その他

No	名前	URL
関連文書
1	fix: [security] prevent otp bypass when LdapAuth.mixedAuth=true and S… MISP/MISP@39b3cb1 GitHub	https://github.com/MISP/MISP/commit/39b3cb15aac4318afdd2ab63b96c2eac12b271fe

変更履歴

No	変更内容	変更日
1	[2026年06月17日] 掲載	2026年6月17日15:35

NVD脆弱性情報

CVE-2026-10611

概要	An authentication bypass vulnerability exists in MISP when LDAP mixed authentication is enabled with OTP enforcement. In deployments configured with LdapAuth.mixedAuth=true and Security.require_otp=true, users authenticated through an authentication plugin, such as LDAP, may have their authenticated session established during the application beforeFilter phase before the normal login flow enforces the OTP challenge. As a result, an attacker with valid primary authentication credentials could bypass the required OTP step by authenticating through the plugin-backed login flow and then directly accessing another application URL instead of completing the OTP verification page. This allows access to the application as the affected user without providing a valid TOTP, HOTP, or email OTP code. The issue affects configurations where plugin-based authentication is enabled and OTP is expected to be mandatory. The fix ensures that OTP requirements are checked immediately after plugin authentication and before the user session is established, redirecting users to the appropriate OTP challenge when required.
公表日	2026年6月2日23:16
登録日	2026年6月3日4:18
最終更新日	2026年6月2日23:47

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/MISP/MISP/commit/39b3cb15aac4318afdd2ab63b96c2eac12b271fe	5a6e4751-2f3f-4070-9419-94fb35b644e8

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html