Vulnerabilidades críticas en MISP 2026
Vulnerabilidad crítica - 28/04
Introducción
CVE-2026-39962 corresponde a un fallo crítico de seguridad identificado en la plataforma MISP (Malware Information Sharing Platform), ampliamente utilizada para el intercambio de inteligencia de amenazas. Este problema se clasifica como una inyección LDAP, una categoría incluida dentro de los riesgos de inyección definidos por OWASP, y se origina por una neutralización insuficiente de caracteres especiales en las consultas LDAP gestionadas por el componente de autenticación ApacheAuthenticate.php.
La vulnerabilidad se produce cuando el sistema utiliza un nombre de usuario que no ha sido adecuadamente validado o sanitizado antes de incorporarlo a una consulta LDAP. Este valor puede proceder de variables de entorno controladas indirectamente por el usuario, especialmente en configuraciones donde se emplean proxies inversos o cabeceras HTTP personalizadas. Bajo estas circunstancias, un atacante puede manipular la consulta LDAP inyectando condiciones maliciosas, lo que abre la puerta a la ejecución de consultas no previstas por el sistema.
Análisis
CVE-2026-39962 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6
CVE-2026-39962 se basa en un problema clásico de inyección LDAP, donde una entrada controlada por el usuario termina formando parte de una consulta sin haber sido correctamente validada. Este tipo de vulnerabilidad está alineado con los fallos de inyección descritos por OWASP.
En un escenario normal, MISP utiliza LDAP para autenticar usuarios contra un directorio (por ejemplo, Active Directory). Para ello, construye internamente una consulta LDAP en la que inserta el nombre de usuario recibido durante el proceso de autenticación. Esa consulta suele tener una estructura lógica, donde el sistema busca un registro que coincida con el identificador del usuario.
Si ese nombre de usuario no se trata como un dato estrictamente literal, se inserta directamente en la consulta. Si un atacante consigue controlar ese valor, por ejemplo, a través de una cabecera HTTP en configuraciones con proxy inverso, puede introducir caracteres especiales propios del lenguaje LDAP, como operadores lógicos o comodines. Esto hace que la consulta deje de comportarse como una búsqueda exacta y pase a evaluar condiciones manipuladas.
El atacante altera la lógica interna de la consulta. En lugar de buscar un usuario concreto, puede forzar expresiones que siempre devuelvan verdadero o que incluyan múltiples resultados. De esta forma, el sistema puede interpretar que la autenticación es válida aunque no lo sea realmente, produciendo un bypass de autenticación.
Versiones afectadas
Todas las versiones de MISP < 2.5.36.
Recomendaciones
Actualizar a MISP 2.5.36 o superior
Workarounds
No hay workarounds para esta vulnerabilidad.