CVE-2026-10611

Nome do Software Vulnerável e Versões Afetadas MISP (versões afetadas não especificadas)

Descrição Ocorre uma falha de bypass de autenticação quando a autenticação mista LDAP está habilitada juntamente com a imposição de OTP. Em configurações onde LdapAuth.mixedAuth está definido como true e Security.require otp está definido como true, a aplicação pode estabelecer uma sessão autenticada durante a fase beforeFilter antes que o fluxo de login padrão imponha o desafio de OTP. Isso permite que um invasor com credenciais primárias válidas ignore a etapa de OTP, autenticando-se através do fluxo baseado em plugin e acessando diretamente uma URL da aplicação, obtendo acesso sem um código TOTP, HOTP ou OTP por e-mail válido.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.