CVE-2026-10868
CriticalCVSS 9.0Exploitation Probability (EPSS)
Low risk13th percentile — higher than 13% of all known CVEs
Summary
W funkcjonalności edycji użytkowników w MISP występuje podatność na masowe przypisanie z powodu niewystarczającego filtrowania pól dostarczanych przez użytkownika. Złośliwy, uwierzytelniony atakujący może wysłać zmodyfikowane żądanie, które zawiera identyfikator innego użytkownika, co może prowadzić do nieautoryzowanej modyfikacji atrybutów konta użytkownika.
Risk Assessment
Podatność ta może prowadzić do naruszenia integralności kont użytkowników, co stwarza ryzyko nieautoryzowanych zmian w danych użytkowników w organizacji.
Recommendation
Zaleca się usunięcie pola User.id z danych żądania przed przetwarzaniem operacji edycji użytkownika, aby zapobiec tej podatności.
Original NVD description (English source)
A mass assignment vulnerability exists in the MISP user edit functionality due to insufficient filtering of user-supplied fields in UsersController::edit(). When processing edit requests, the application accepted a user-controlled User.id value from request data. An authenticated attacker could craft a modified request containing another user identifier, potentially causing updates to be applied to an unintended user account. Depending on the editable fields and the attacker’s privileges, this could allow unauthorized modification of user account attributes and impact account integrity. The issue was addressed by explicitly removing the User.id field from request data before processing the user edit operation.

