Andrea Capelli

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Descrição** Ocorre uma falha de bypass de autenticação quando a autenticação mista LDAP está habilitada juntamente com a imposição de OTP. Em configurações onde `LdapAuth.mixedAuth` está definido como `true` e `Security.require otp` está definido como `true`, a aplicação pode estabelecer uma sessão autenticada durante a fase `beforeFilter` antes que o fluxo de login padrão imponha o desafio de OTP. Isso permite que um invasor com credenciais primárias válidas ignore a etapa de OTP, autenticando-se através do fluxo baseado em plugin e acessando diretamente uma URL da aplicação, obtendo acesso sem um código TOTP, HOTP ou OTP por e-mail válido. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.