Katalog CVE

CVE-2026-39962

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

MISP to platforma do zarządzania informacjami o zagrożeniach. W wersjach przed 2.5.36 występuje podatność na wstrzykiwanie LDAP z powodu niewłaściwego neutralizowania specjalnych elementów w zapytaniu LDAP, co pozwala na manipulację filtrem wyszukiwania LDAP.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do ominięcia ograniczeń uwierzytelniania lub wykonywania nieautoryzowanych zapytań LDAP, co może prowadzić do ujawnienia wrażliwych informacji.

Rekomendacja

Zaleca się aktualizację do wersji 2.5.36 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

MISP is an open source threat intelligence and sharing platform. Prior to 2.5.36, improper neutralization of special elements in an LDAP query in ApacheAuthenticate.php allows LDAP injection via an unsanitized username value when ApacheAuthenticate.apacheEnv is configured to use a user-controlled server variable instead of REMOTE_USER (such as in certain proxy setups). An attacker able to control that value can manipulate the LDAP search filter and potentially bypass authentication constraints or cause unauthorized LDAP queries. This vulnerability is fixed in 2.5.36.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS