Katalog CVE

CVE-2026-10868

KrytyczneCVSS 9.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

W funkcjonalności edycji użytkowników w MISP występuje podatność na masowe przypisanie z powodu niewystarczającego filtrowania pól dostarczanych przez użytkownika. Złośliwy, uwierzytelniony atakujący może wysłać zmodyfikowane żądanie, które zawiera identyfikator innego użytkownika, co może prowadzić do nieautoryzowanej modyfikacji atrybutów konta użytkownika.

Ocena ryzyka

Podatność ta może prowadzić do naruszenia integralności kont użytkowników, co stwarza ryzyko nieautoryzowanych zmian w danych użytkowników w organizacji.

Rekomendacja

Zaleca się usunięcie pola User.id z danych żądania przed przetwarzaniem operacji edycji użytkownika, aby zapobiec tej podatności.

Oryginalny opis (angielski, źródło NVD)

A mass assignment vulnerability exists in the MISP user edit functionality due to insufficient filtering of user-supplied fields in UsersController::edit(). When processing edit requests, the application accepted a user-controlled User.id value from request data. An authenticated attacker could craft a modified request containing another user identifier, potentially causing updates to be applied to an unintended user account. Depending on the editable fields and the attacker’s privileges, this could allow unauthorized modification of user account attributes and impact account integrity. The issue was addressed by explicitly removing the User.id field from request data before processing the user edit operation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS