Misp
Уязвимости
14
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01793
Распределение по критичности
Критический
2
Высокий
3
Средний
9
Низкий
0
Затронутые диапазоны версий
< 2.4.89< 2.5.36< 2.5.37≤ 2.4.68≤ 2.4.79≤ 2.4.80
Также сопоставлено как (исходные строки): misp
Топ уязвимостей
CVE-2023-24028В MISP 2.4.167 app/Controller/Component/ACLComponent.php имеет некорректный контроль доступа для функции импорта с затуханием.
CVE-2026-44381MISP - это платформа для информирования об угрозах и обмена с открытым исходным кодом. До 2.5.37 в обработке параметров заказа, контролируемых пользователем, существовала уязвимость инъекций SQL в параметрах заказа, контролируемых пользователем, в конечных точках списка тени. Затронутый код принимал значения порядка или сортировки из параметров запроса и включал их в положения о заказе запросов в базе данных без достаточной проверки запрашиваемой фамилии поля. Злоумышленник с доступом к затронутым конечным точкам может создать параметр вредоносного заказа для манипулирования генерируемым SQL-запросом. В зависимости от разрешений базы данных и контекста запросов, это может потенциально позволить несанкционированный доступ к данным, изменение поведения запросов или другое воздействие на уровень базы данных. Эта уязвимость фиксируется в 2.5.37.
CVE-2026-39962MISP - это платформа для разведки угроз и обмена с открытым исходным кодом. До 2.5.36 неправильная нейтрализация специальных элементов в запросе LDAP в ApacheAuthenticate.php позволяет инъекцию LDAP через несанитарное значение имени пользователя, когда ApacheAuthenticate.apacheEnv конфигурируется для использования контролируемой пользователем переменной сервера вместо REMOTE_USER (например, в некоторых прокси-установочных системах). Злоумышленник, способный контролировать это значение, может манипулировать фильтром поиска LDAP и потенциально обходить ограничения аутентификации или вызывать несанкционированные запросы LDAP. Эта уязвимость зафиксирована в 2.5.36.
CVE-2026-44380MISP - это платформа для информирования об угрозах и обмена с открытым исходным кодом. До 2.5.37 неправильную уязвимость контроля доступа в функции сброса клавиш аутентификации позволяла аутентифицированному администратору организации сбрасывать ключи аутентификации, принадлежащие учетным записям администраторов сайта, в одной и той же организации. Поскольку администраторы, не являющиеся администраторами сайта, явно не препятствовали доступу или сбросу ключей администратора сайта, злоумышленник с привилегиями администратора организации потенциально мог получить недавно сгенерированный аутбук для более привилегированной учетной записи и использовать его для эскалации привилегий. Эта уязвимость зафиксирована в 2.5.37.
CVE-2017-14337Когда MISP до версии 2.4.80 настроен с аутентификацией по сертификату X.509 (CertAuth) в сочетании со сторонним API ReST для управления пользователями, не относящимся к MISP, если внешний пользователь предоставляет аутентификацию по сертификату X.509 и этот API возвращает пустое значение, неаутентифицированному пользователю может быть предоставлен доступ как произвольному пользователю.
CVE-2023-24026В MISP 2.4.167 app/webroot/js/event-graph.js имеет уязвимость XSS через полезную нагрузку предварительного просмотра event-graph.
CVE-2018-8948В MISP до версии 2.4.89 app/View/Events/resolved_attributes.ctp имеет несколько проблем XSS через вредоносный модуль MISP.
CVE-2018-11245app/webroot/js/misp.js в MISP 2.4.91 имеет DOM-based XSS с атрибутами типа cortex.
CVE-2017-7215Межсайтовый скриптинг в некоторых элементах просмотра в инструменте фильтрации индекса в app/webroot/js/misp2.4.68.js и на целевой странице организации в app/View/Organisations/ajax/landingpage.ctp MISP до версии 2.4.69 позволяет удаленным злоумышленникам внедрять произвольный веб-сценарий или HTML.
CVE-2017-15216MISP до версии 2.4.81 имеет потенциальную отраженную XSS в действии quickDelete, которое используется для удаления наблюдения, связанного с app/View/Sightings/ajax/quickDeleteConfirmationForm.ctp и app/webroot/js/misp.js.
BDU:2022-03031Уязвимость компонента app/View/GalaxyElements/ajax/index.ctp платформы анализа угроз и обмена информацией MISP связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки (XSS)
CVE-2017-16802В функции sharingGroupPopulateOrganisations в app/webroot/js/misp.js в MISP 2.4.82 существует XSS через специально созданное название организации, которое добавляется вручную.
CVE-2026-44379MISP - это платформа для информирования об угрозах и обмена с открытым исходным кодом. До 2.5.37 MISP Collections не обеспечила проверку RFC 4122 UUID на поле uid. В результате пользователь, способный создавать или изменять записи коллекции, может представлять исправленные значения UUID, что может вызвать проблемы с целостностью или неожиданное поведение в кодовых путях, которые предполагают, что UUID коллекции являются действительными идентификаторами. Эта уязвимость зафиксирована в 2.5.37.
CVE-2018-8949В app/Model/Attribute.php в MISP до версии 2.4.89 обнаружена проблема. Существует критическая ошибка целостности API, потенциально позволяющая пользователям удалять атрибуты других событий. Специально созданное изменение для события (без UUID атрибутов, но с установленными идентификаторами атрибутов) может перезаписать существующий атрибут.