bdu,nvd,anchore_overrides
Misp Project
Уязвимости
30
Эксплуатируемые
0
Критический
9
Высокий
4
Топ продуктов
Топ уязвимостей
CVE-2023-48659Обнаружена проблема в MISP до версии 2.4.176. app/Controller/AppController.php неправильно обрабатывает разбор параметров.
CVE-2023-48658Обнаружена проблема в MISP до версии 2.4.176. app/Model/AppModel.php не хватает функции checkParam для буквенно-цифровых символов, подчеркивания, тире, точки и пробела.
CVE-2023-48657Обнаружена проблема в MISP до версии 2.4.176. app/Model/AppModel.php неправильно обрабатывает фильтры.
CVE-2023-48656Обнаружена проблема в MISP до версии 2.4.176. app/Model/AppModel.php неправильно обрабатывает предложения order.
CVE-2023-48655Обнаружена проблема в MISP до версии 2.4.176. app/Controller/Component/IndexFilterComponent.php неправильно фильтрует параметры запроса.
CVE-2023-24028В MISP 2.4.167 app/Controller/Component/ACLComponent.php имеет некорректный контроль доступа для функции импорта с затуханием.
CVE-2015-5721Malware Information Sharing Platform (MISP) до версии 2.3.90 позволяет удаленным злоумышленникам проводить атаки с внедрением PHP-объектов через специально созданные сериализованные данные, связанные с TemplatesController.php и populate_event_from_template_attributes.ctp.
CVE-2015-5719app/Controller/TemplatesController.php в Malware Information Sharing Platform (MISP) до версии 2.3.92 неправильно ограничивает имена файлов в каталоге tmp/files/, что имеет неуказанное воздействие и векторы атак.
CVE-2026-44381MISP - это платформа для информирования об угрозах и обмена с открытым исходным кодом. До 2.5.37 в обработке параметров заказа, контролируемых пользователем, существовала уязвимость инъекций SQL в параметрах заказа, контролируемых пользователем, в конечных точках списка тени. Затронутый код принимал значения порядка или сортировки из параметров запроса и включал их в положения о заказе запросов в базе данных без достаточной проверки запрашиваемой фамилии поля. Злоумышленник с доступом к затронутым конечным точкам может создать параметр вредоносного заказа для манипулирования генерируемым SQL-запросом. В зависимости от разрешений базы данных и контекста запросов, это может потенциально позволить несанкционированный доступ к данным, изменение поведения запросов или другое воздействие на уровень базы данных. Эта уязвимость фиксируется в 2.5.37.
CVE-2026-39962MISP - это платформа для разведки угроз и обмена с открытым исходным кодом. До 2.5.36 неправильная нейтрализация специальных элементов в запросе LDAP в ApacheAuthenticate.php позволяет инъекцию LDAP через несанитарное значение имени пользователя, когда ApacheAuthenticate.apacheEnv конфигурируется для использования контролируемой пользователем переменной сервера вместо REMOTE_USER (например, в некоторых прокси-установочных системах). Злоумышленник, способный контролировать это значение, может манипулировать фильтром поиска LDAP и потенциально обходить ограничения аутентификации или вызывать несанкционированные запросы LDAP. Эта уязвимость зафиксирована в 2.5.36.
CVE-2026-44380MISP - это платформа для информирования об угрозах и обмена с открытым исходным кодом. До 2.5.37 неправильную уязвимость контроля доступа в функции сброса клавиш аутентификации позволяла аутентифицированному администратору организации сбрасывать ключи аутентификации, принадлежащие учетным записям администраторов сайта, в одной и той же организации. Поскольку администраторы, не являющиеся администраторами сайта, явно не препятствовали доступу или сбросу ключей администратора сайта, злоумышленник с привилегиями администратора организации потенциально мог получить недавно сгенерированный аутбук для более привилегированной учетной записи и использовать его для эскалации привилегий. Эта уязвимость зафиксирована в 2.5.37.
CVE-2017-14337Когда MISP до версии 2.4.80 настроен с аутентификацией по сертификату X.509 (CertAuth) в сочетании со сторонним API ReST для управления пользователями, не относящимся к MISP, если внешний пользователь предоставляет аутентификацию по сертификату X.509 и этот API возвращает пустое значение, неаутентифицированному пользователю может быть предоставлен доступ как произвольному пользователю.
CVE-2023-37306MISP 2.4.172 неправильно обрабатывает различные расширения файлов сертификатов в синхронизации сервера. Злоумышленник может получить конфиденциальную информацию из-за характера сообщений об ошибках.
CVE-2023-28884В MISP 2.4.169 app/Lib/Tools/CustomPaginationTool.php допускает XSS в индексе сообщества.
CVE-2023-28607js/event-graph.js в MISP до версии 2.4.169 допускает XSS через подсказку о взаимосвязи event-graph.
CVE-2023-28606js/event-graph.js в MISP до версии 2.4.169 допускает XSS через подсказки узлов event-graph.
CVE-2023-24070app/View/AuthKeys/authkey_display.ctp в MISP версий до 2.4.167 имеет XSS в authkey add через поле Referer.
CVE-2023-24026В MISP 2.4.167 app/webroot/js/event-graph.js имеет уязвимость XSS через полезную нагрузку предварительного просмотра event-graph.
CVE-2022-47928В MISP до версии 2.4.167 присутствует XSS в файлах шаблонов загрузок в app/View/Templates/upload_file.ctp.
CVE-2018-8948В MISP до версии 2.4.89 app/View/Events/resolved_attributes.ctp имеет несколько проблем XSS через вредоносный модуль MISP.
CVE-2018-11245app/webroot/js/misp.js в MISP 2.4.91 имеет DOM-based XSS с атрибутами типа cortex.
CVE-2017-7215Межсайтовый скриптинг в некоторых элементах просмотра в инструменте фильтрации индекса в app/webroot/js/misp2.4.68.js и на целевой странице организации в app/View/Organisations/ajax/landingpage.ctp MISP до версии 2.4.69 позволяет удаленным злоумышленникам внедрять произвольный веб-сценарий или HTML.
CVE-2017-15216MISP до версии 2.4.81 имеет потенциальную отраженную XSS в действии quickDelete, которое используется для удаления наблюдения, связанного с app/View/Sightings/ajax/quickDeleteConfirmationForm.ctp и app/webroot/js/misp.js.
CVE-2015-5720Множественные уязвимости межсайтового скриптинга (XSS) в функции создания шаблонов в Malware Information Sharing Platform (MISP) до версии 2.3.90 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через векторы, включающие (1) add.ctp, (2) edit.ctp и (3) ajaxification.js.
BDU:2022-03031Уязвимость компонента app/View/GalaxyElements/ajax/index.ctp платформы анализа угроз и обмена информацией MISP связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки (XSS)