CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-10868

CriticalCVSS 9.0
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.04%

13th percentile — higher than 13% of all known CVEs

Summary

W funkcjonalności edycji użytkowników w MISP występuje podatność na masowe przypisanie z powodu niewystarczającego filtrowania pól dostarczanych przez użytkownika. Złośliwy, uwierzytelniony atakujący może wysłać zmodyfikowane żądanie, które zawiera identyfikator innego użytkownika, co może prowadzić do nieautoryzowanej modyfikacji atrybutów konta użytkownika.

Risk Assessment

Podatność ta może prowadzić do naruszenia integralności kont użytkowników, co stwarza ryzyko nieautoryzowanych zmian w danych użytkowników w organizacji.

Recommendation

Zaleca się usunięcie pola User.id z danych żądania przed przetwarzaniem operacji edycji użytkownika, aby zapobiec tej podatności.

Original NVD description (English source)

A mass assignment vulnerability exists in the MISP user edit functionality due to insufficient filtering of user-supplied fields in UsersController::edit(). When processing edit requests, the application accepted a user-controlled User.id value from request data. An authenticated attacker could craft a modified request containing another user identifier, potentially causing updates to be applied to an unintended user account. Depending on the editable fields and the attacker’s privileges, this could allow unauthorized modification of user account attributes and impact account integrity. The issue was addressed by explicitly removing the User.id field from request data before processing the user edit operation.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS