Katalog CVE

CVE-2026-42547

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

IRIS to platforma współpracy internetowej, która umożliwia responderom incydentów dzielenie się szczegółami technicznymi podczas dochodzeń. W wersjach przed 2.4.28 użytkownicy mogą tworzyć alerty dla klientów, którzy nie są im przypisani, co może prowadzić do fałszywego przypisywania alertów do klientów.

Ocena ryzyka

Możliwość fałszywego przypisywania alertów stwarza ryzyko dezinformacji oraz potencjalnego wycieku danych z kont innych klientów, zwłaszcza w połączeniu z atakami Cross-Site Scripting.

Rekomendacja

Zaleca się aktualizację do wersji 2.4.28 lub nowszej, aby załatać tę podatność i zminimalizować ryzyko nadużyć.

Oryginalny opis (angielski, źródło NVD)

IRIS is a web collaborative platform that helps incident responders share technical details during investigations. In versions prior to 2.4.28, users can create alerts for customers that are not assigned to them. This can be abused to falsely attribute fake alerts to customers. In combination with Cross-Site Scripting, this can also be used to exfiltrate alerts from other customers. Version 2.4.28 contains a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS