Katalog CVE

CVE-2026-10855

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 - wyżej niż 5% wszystkich znanych CVE

Streszczenie

W aplikacji MISP Event Template Importer wystąpiła luka autoryzacyjna w procesie nadpisywania szablonów wydarzeń. Użytkownik mógł nadpisać szablon należący do innej organizacji, nie będąc jej członkiem.

Ocena ryzyka

Wykorzystanie tej luki mogło prowadzić do nieautoryzowanej modyfikacji szablonów wydarzeń innych organizacji, co mogłoby wpłynąć na strukturę, atrybuty lub metadane używane w późniejszych procesach tworzenia lub udostępniania wydarzeń.

Rekomendacja

Zaleca się, aby użytkownicy niebędący administratorami serwisu mogli nadpisywać tylko szablony należące do ich własnej organizacji. Należy również upewnić się, że wszystkie konta użytkowników są odpowiednio przypisane do organizacji.

Oryginalny opis (angielski, źródło NVD)

An authorization flaw existed in the MISP Event Template Importer overwrite workflow. When importing an event template in overwrite mode, the application checked whether a matching template already existed but did not verify that the importing user belonged to the organization that owned the existing template. As a result, an authenticated user with access to the template import functionality could forcibly overwrite an event template owned by another organization. Successful exploitation could allow unauthorized modification of another organization’s event template, potentially altering template structure, attributes, or metadata used for subsequent event creation or sharing workflows. Site administrators are not affected by this restriction, as they are explicitly allowed to overwrite templates across organizations. The issue was fixed by enforcing an ownership check before overwrite: non-site-admin users may only overwrite templates owned by their own organization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS