CVE-2026-10611
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 27 — wyżej niż 27% wszystkich znanych CVE
Streszczenie
W MISP występuje podatność na obejście uwierzytelnienia, gdy włączona jest mieszana autoryzacja LDAP z wymuszeniem OTP. Użytkownicy mogą uzyskać dostęp do aplikacji bez przechodzenia przez wymagany krok weryfikacji OTP.
Ocena ryzyka
Atakujący z ważnymi danymi uwierzytelniającymi może ominąć wymóg OTP, co prowadzi do nieautoryzowanego dostępu do aplikacji jako inny użytkownik. To stwarza poważne zagrożenie dla bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację konfiguracji, aby wymuszać weryfikację OTP natychmiast po autoryzacji przez wtyczkę, zanim zostanie nawiązana sesja użytkownika. Należy również upewnić się, że użytkownicy są przekierowywani do odpowiedniej strony weryfikacji OTP.
Oryginalny opis (angielski, źródło NVD)
An authentication bypass vulnerability exists in MISP when LDAP mixed authentication is enabled with OTP enforcement. In deployments configured with LdapAuth.mixedAuth=true and Security.require_otp=true, users authenticated through an authentication plugin, such as LDAP, may have their authenticated session established during the application beforeFilter phase before the normal login flow enforces the OTP challenge. As a result, an attacker with valid primary authentication credentials could bypass the required OTP step by authenticating through the plugin-backed login flow and then directly accessing another application URL instead of completing the OTP verification page. This allows access to the application as the affected user without providing a valid TOTP, HOTP, or email OTP code. The issue affects configurations where plugin-based authentication is enabled and OTP is expected to be mandatory. The fix ensures that OTP requirements are checked immediately after plugin authentication and before the user session is established, redirecting users to the appropriate OTP challenge when required.

