Malware Information Sharing Platform
Уязвимости
20
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.0261
Распределение по критичности
Критический
8
Высокий
3
Средний
9
Низкий
0
Затронутые диапазоны версий
< 2.4.164< 2.4.167< 2.4.169< 2.4.172< 2.4.176< 2.5.36< 2.5.37≤ 2.3.89≤ 2.3.91≤ 2.4.167
Также сопоставлено как (исходные строки): malware_information_sharing_platform
Топ уязвимостей
CVE-2023-48659Обнаружена проблема в MISP до версии 2.4.176. app/Controller/AppController.php неправильно обрабатывает разбор параметров.
CVE-2023-48658Обнаружена проблема в MISP до версии 2.4.176. app/Model/AppModel.php не хватает функции checkParam для буквенно-цифровых символов, подчеркивания, тире, точки и пробела.
CVE-2023-48657Обнаружена проблема в MISP до версии 2.4.176. app/Model/AppModel.php неправильно обрабатывает фильтры.
CVE-2023-48656Обнаружена проблема в MISP до версии 2.4.176. app/Model/AppModel.php неправильно обрабатывает предложения order.
CVE-2023-48655Обнаружена проблема в MISP до версии 2.4.176. app/Controller/Component/IndexFilterComponent.php неправильно фильтрует параметры запроса.
CVE-2015-5721Malware Information Sharing Platform (MISP) до версии 2.3.90 позволяет удаленным злоумышленникам проводить атаки с внедрением PHP-объектов через специально созданные сериализованные данные, связанные с TemplatesController.php и populate_event_from_template_attributes.ctp.
CVE-2015-5719app/Controller/TemplatesController.php в Malware Information Sharing Platform (MISP) до версии 2.3.92 неправильно ограничивает имена файлов в каталоге tmp/files/, что имеет неуказанное воздействие и векторы атак.
CVE-2026-44381MISP - это платформа для информирования об угрозах и обмена с открытым исходным кодом. До 2.5.37 в обработке параметров заказа, контролируемых пользователем, существовала уязвимость инъекций SQL в параметрах заказа, контролируемых пользователем, в конечных точках списка тени. Затронутый код принимал значения порядка или сортировки из параметров запроса и включал их в положения о заказе запросов в базе данных без достаточной проверки запрашиваемой фамилии поля. Злоумышленник с доступом к затронутым конечным точкам может создать параметр вредоносного заказа для манипулирования генерируемым SQL-запросом. В зависимости от разрешений базы данных и контекста запросов, это может потенциально позволить несанкционированный доступ к данным, изменение поведения запросов или другое воздействие на уровень базы данных. Эта уязвимость фиксируется в 2.5.37.
CVE-2026-39962MISP - это платформа для разведки угроз и обмена с открытым исходным кодом. До 2.5.36 неправильная нейтрализация специальных элементов в запросе LDAP в ApacheAuthenticate.php позволяет инъекцию LDAP через несанитарное значение имени пользователя, когда ApacheAuthenticate.apacheEnv конфигурируется для использования контролируемой пользователем переменной сервера вместо REMOTE_USER (например, в некоторых прокси-установочных системах). Злоумышленник, способный контролировать это значение, может манипулировать фильтром поиска LDAP и потенциально обходить ограничения аутентификации или вызывать несанкционированные запросы LDAP. Эта уязвимость зафиксирована в 2.5.36.
CVE-2026-44380MISP - это платформа для информирования об угрозах и обмена с открытым исходным кодом. До 2.5.37 неправильную уязвимость контроля доступа в функции сброса клавиш аутентификации позволяла аутентифицированному администратору организации сбрасывать ключи аутентификации, принадлежащие учетным записям администраторов сайта, в одной и той же организации. Поскольку администраторы, не являющиеся администраторами сайта, явно не препятствовали доступу или сбросу ключей администратора сайта, злоумышленник с привилегиями администратора организации потенциально мог получить недавно сгенерированный аутбук для более привилегированной учетной записи и использовать его для эскалации привилегий. Эта уязвимость зафиксирована в 2.5.37.
CVE-2023-37306MISP 2.4.172 неправильно обрабатывает различные расширения файлов сертификатов в синхронизации сервера. Злоумышленник может получить конфиденциальную информацию из-за характера сообщений об ошибках.
CVE-2023-28884В MISP 2.4.169 app/Lib/Tools/CustomPaginationTool.php допускает XSS в индексе сообщества.
CVE-2023-28607js/event-graph.js в MISP до версии 2.4.169 допускает XSS через подсказку о взаимосвязи event-graph.
CVE-2023-28606js/event-graph.js в MISP до версии 2.4.169 допускает XSS через подсказки узлов event-graph.
CVE-2023-24070app/View/AuthKeys/authkey_display.ctp в MISP версий до 2.4.167 имеет XSS в authkey add через поле Referer.
CVE-2022-47928В MISP до версии 2.4.167 присутствует XSS в файлах шаблонов загрузок в app/View/Templates/upload_file.ctp.
CVE-2015-5720Множественные уязвимости межсайтового скриптинга (XSS) в функции создания шаблонов в Malware Information Sharing Platform (MISP) до версии 2.3.90 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через векторы, включающие (1) add.ctp, (2) edit.ctp и (3) ajaxification.js.
CVE-2023-37307В MISP до версии 2.4.172 title_for_layout неправильно санируется в Correlations, CorrelationExclusions и Layouts.
CVE-2026-44379MISP - это платформа для информирования об угрозах и обмена с открытым исходным кодом. До 2.5.37 MISP Collections не обеспечила проверку RFC 4122 UUID на поле uid. В результате пользователь, способный создавать или изменять записи коллекции, может представлять исправленные значения UUID, что может вызвать проблемы с целостностью или неожиданное поведение в кодовых путях, которые предполагают, что UUID коллекции являются действительными идентификаторами. Эта уязвимость зафиксирована в 2.5.37.
CVE-2022-42724app/Controller/UsersController.php в MISP до 2.4.164 позволяет злоумышленникам обнаруживать имена ролей (это информация, которой должен обладать только администратор сайта).