JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-012489 MISPはオープンソースの脅威インテリジェンスおよび共有プラットフォームです。バージョン2.5.36以前では、ApacheAuthenticate.phpにおけるLDAPクエリの特殊な要素の不適切な無害化により、ApacheAuthenticate.apacheEnvがREMOTE_USERではなくユーザー制御のサーバー変数（特定のプロキシ構成など）を使用するように設定されている場合にLDAPインジェクションが発生する可能性がありました。攻撃者がその値を制御できると、LDAP検索フィルターを操作して認証制約を回避したり、無許可のLDAPクエリを実行したりすることが可能でした。この脆弱性はバージョン2.5.36で修正されています。 cpe:/a:misp:misp https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-012489.html Common Vulnerabilities and Exposures (CVE) CVE-2026-39962 https://www.cve.org/CVERecord?id=CVE-2026-39962 National Vulnerability Database (NVD) CVE-2026-39962 https://nvd.nist.gov/vuln/detail/CVE-2026-39962 GitHub LDAP injection in MISP ApacheAuthenticate when using a user-controlled Apache environment variable Advisory MISP/MISP GitHub https://github.com/MISP/MISP/security/advisories/GHSA-mc53-48w8-9g63 JVNDB CWE-90 https://cwe.mitre.org/data/definitions/90.html 関連文書 fix: [security] LDAP injection via unsanitized username in LDAP searc… MISP/MISP@d7d671e GitHub https://github.com/MISP/MISP/commit/d7d671ea8f5822e91207dcad2003c35c30092a32 関連文書 Release MISP 2.5.36: Easter bunny release MISP/MISP GitHub https://github.com/MISP/MISP/releases/tag/v2.5.36 関連文書 fix: sanitize user input before sending it to ldap MISP/MISP@380ee41 GitHub https://github.com/MISP/MISP/commit/380ee4136a7d9ce2fe63fce06d517839f30aba10 2026-04-24T11:42:19+09:00 2026-04-24T11:42:19+09:00