CVE-2026-39962
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
MISP to platforma do zarządzania informacjami o zagrożeniach. W wersjach przed 2.5.36 występuje podatność na wstrzykiwanie LDAP z powodu niewłaściwego neutralizowania specjalnych elementów w zapytaniu LDAP, co pozwala na manipulację filtrem wyszukiwania LDAP.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do ominięcia ograniczeń uwierzytelniania lub wykonywania nieautoryzowanych zapytań LDAP, co może prowadzić do ujawnienia wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację do wersji 2.5.36 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
MISP is an open source threat intelligence and sharing platform. Prior to 2.5.36, improper neutralization of special elements in an LDAP query in ApacheAuthenticate.php allows LDAP injection via an unsanitized username value when ApacheAuthenticate.apacheEnv is configured to use a user-controlled server variable instead of REMOTE_USER (such as in certain proxy setups). An attacker able to control that value can manipulate the LDAP search filter and potentially bypass authentication constraints or cause unauthorized LDAP queries. This vulnerability is fixed in 2.5.36.

