CVE-2026-41522
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 - wyżej niż 16% wszystkich znanych CVE
Streszczenie
Iris to platforma współpracy internetowej, która wspiera zespoły reagujące na incydenty w dzieleniu się szczegółami technicznymi. W wersjach przed 2.4.28, DFIR-IRIS udostępnia opcjonalny punkt końcowy GraphQL, który nie wymusza tych samych kontroli autoryzacji co API REST, co pozwala uwierzytelnionym użytkownikom na nadużycia.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do informacji o incydentach oraz możliwość tworzenia przypadków przez nieuprawnionych użytkowników, co może prowadzić do ujawnienia wrażliwych danych.
Rekomendacja
Zaleca się zablokowanie punktu końcowego `/graphql` na serwerze proxy odwrotnym lub skomentowanie importu `graphql_blueprint` oraz wywołania `register_blueprint` w pliku `source/app/views.py`, a następnie ponowne uruchomienie aplikacji.
Oryginalny opis (angielski, źródło NVD)
Iris is a web collaborative platform that helps incident responders share technical details during investigations. Prior to version 2.4.28, DFIR-IRIS exposes an optional GraphQL endpoint at `/graphql` that does not enforce the same authorization checks as the REST API. Any authenticated user can abuse it in three ways: unauthorized IOC read across cases (IDOR), bulk IOC disclosure via `case.iocs`. The `case(caseId: …).iocs` resolver returns IOCs linked to an arbitrary case without verifying the caller has access to that case, and unauthorized case creation. All three are reachable by any authenticated user, regardless of role or case ACL. This is fixed in v2.4.28. The GraphQL blueprint, resolvers, and dependencies (`graphene`, `graphene-sqlalchemy`, `graphql-server[flask]`) were removed entirely, since the feature was not in use. As a workaround, block `/graphql` at the reverse proxy (recommended) or comment out the `graphql_blueprint` import and `register_blueprint` call in `source/app/views.py` and restart.

