CVE-2026-41522
HighCVSS 7.1Exploitation Probability (EPSS)
Low risk16th percentile - higher than 16% of all known CVEs
Summary
Iris to platforma współpracy internetowej, która wspiera zespoły reagujące na incydenty w dzieleniu się szczegółami technicznymi. W wersjach przed 2.4.28, DFIR-IRIS udostępnia opcjonalny punkt końcowy GraphQL, który nie wymusza tych samych kontroli autoryzacji co API REST, co pozwala uwierzytelnionym użytkownikom na nadużycia.
Risk Assessment
Organizacja może być narażona na nieautoryzowany dostęp do informacji o incydentach oraz możliwość tworzenia przypadków przez nieuprawnionych użytkowników, co może prowadzić do ujawnienia wrażliwych danych.
Recommendation
Zaleca się zablokowanie punktu końcowego `/graphql` na serwerze proxy odwrotnym lub skomentowanie importu `graphql_blueprint` oraz wywołania `register_blueprint` w pliku `source/app/views.py`, a następnie ponowne uruchomienie aplikacji.
Original NVD description (English source)
Iris is a web collaborative platform that helps incident responders share technical details during investigations. Prior to version 2.4.28, DFIR-IRIS exposes an optional GraphQL endpoint at `/graphql` that does not enforce the same authorization checks as the REST API. Any authenticated user can abuse it in three ways: unauthorized IOC read across cases (IDOR), bulk IOC disclosure via `case.iocs`. The `case(caseId: …).iocs` resolver returns IOCs linked to an arbitrary case without verifying the caller has access to that case, and unauthorized case creation. All three are reachable by any authenticated user, regardless of role or case ACL. This is fixed in v2.4.28. The GraphQL blueprint, resolvers, and dependencies (`graphene`, `graphene-sqlalchemy`, `graphql-server[flask]`) were removed entirely, since the feature was not in use. As a workaround, block `/graphql` at the reverse proxy (recommended) or comment out the `graphql_blueprint` import and `register_blueprint` call in `source/app/views.py` and restart.

