概要
MISP(Malware Information Sharing Platform)において、LDAP 混在認証(LdapAuth.mixedAuth=true)と OTP 強制(Security.require_otp=true)を同時に有効にした構成で、OTP(ワンタイムパスワード)の検証をスキップできる認証バイパス脆弱性です。
LDAP プラグイン経由でログインしたユーザーのセッションが、アプリケーションの beforeFilter フェーズで通常のログインフロー(OTP チャレンジ)が実行される前に確立されてしまいます。これにより、有効な第一認証情報(パスワード等)を持つ攻撃者が、OTP コード(TOTP / HOTP / メール OTP)を入力せずにアプリケーションへアクセスできます。
MISP はサイバー脅威情報の共有に使われる重要なプラットフォームであり、不正アクセスによる情報漏洩・改ざんのリスクがあります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| スコア | 10.0(Critical) |
| 攻撃経路(AV) | ネットワーク(N) |
| 攻撃複雑度(AC) | 低(L) |
| 特権要件(PR) | なし(N) |
| ユーザー操作(UI) | 不要(N) |
| スコープ(S) | 変更あり(C) |
| 機密性影響(C) | 高(H) |
| 完全性影響(I) | 高(H) |
| 可用性影響(A) | 高(H) |
影響を受けるソフトウェア
| 製品 | 対象構成 |
|---|---|
| MISP | LdapAuth.mixedAuth=true かつ Security.require_otp=true が設定されている環境 |
標準的な LDAP 認証のみ、または OTP なし構成は直接の影響を受けません。
修正バージョンと回避策
修正: 修正コミット 39b3cb15aac4318afdd2ab63b96c2eac12b271fe を含む最新版へアップデートします。修正内容は「プラグイン認証直後に OTP 要件を確認し、OTP チャレンジが未完了の場合はセッション確立前にリダイレクトする」という処理の追加です。
回避策: アップデートが困難な場合は LdapAuth.mixedAuth=false に設定するか、OTP 強制を一時的に無効化した上でネットワークレベルでのアクセス制限を強化してください。
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。