Katalog CVE

CVE-2026-10861

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

W MISP występowała podatność na otwarte przekierowanie w metodzie UsersController::routeafterlogin(), gdzie wartość klucza sesji pre_login_requested_url była używana jako cel przekierowania po logowaniu, bez odpowiedniego sprawdzenia, czy jest to lokalna ścieżka aplikacji.

Ocena ryzyka

Nieautoryzowany zdalny atakujący mógł stworzyć link, który po zalogowaniu przekierowywałby ofiarę na złośliwą stronę, co mogłoby zwiększyć wiarygodność ataków phishingowych oraz prowadzić do wyłudzenia danych.

Rekomendacja

Zaleca się zastosowanie łatki, która dekoduje i analizuje URL, odrzucając te z nieprawidłowymi schematami, hostami oraz ścieżkami, aby zapobiec otwartym przekierowaniom.

Oryginalny opis (angielski, źródło NVD)

An open redirect vulnerability existed in MISP UsersController::routeafterlogin() because the value stored in the pre_login_requested_url session key was used as the post-login redirect destination without sufficiently enforcing that it was a local application path. An unauthenticated remote attacker could craft a link that causes a victim to visit a trusted MISP instance and, after successful authentication, be redirected to an attacker-controlled external URL. This could be abused to increase the credibility of phishing attacks, redirect users to counterfeit login pages, or deliver attacker-controlled content from an untrusted domain. CWE-601 describes this weakness as accepting user-controlled input that specifies an external link and using it in a redirect, with phishing as a common consequence. The patch mitigates the issue by decoding and parsing the URL, rejecting URLs with a scheme, host, user component, missing or non-local path, and protocol-relative forms such as //example.com and /\example.com.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS