CVE-2026-54358
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 - wyżej niż 14% wszystkich znanych CVE
Streszczenie
W MISP występuje podatność związana z nieprawidłową autoryzacją, która pozwala administratorowi organizacji na celowanie w konta administratorów serwisu w tej samej organizacji za pomocą funkcji e-mailowej. Kod ograniczał administratorów organizacji do użytkowników w ich własnej organizacji, ale nie wykluczał kont z rolą administratora serwisu z zapytań do odbiorców.
Ocena ryzyka
Skuteczne wykorzystanie tej podatności może pozwolić na przejęcie konta administratora serwisu przez uwierzytelnionego administratora organizacji, co prowadzi do eskalacji uprawnień oraz pełnego kompromitowania poufności, integralności i dostępności instancji MISP.
Rekomendacja
Zaleca się przegląd i aktualizację mechanizmów autoryzacji w MISP, aby zapewnić, że administratorzy organizacji nie mogą wpływać na konta administratorów serwisu. Należy również monitorować działania administratorów organizacji w celu wykrycia potencjalnych nadużyć.
Oryginalny opis (angielski, źródło NVD)
An incorrect authorization vulnerability in MISP allows an organization administrator to target site administrator accounts belonging to the same organization through the administrative email functionality. The affected code restricted organization administrators to users within their own organization, but did not exclude accounts assigned a site administrator role from recipient queries. As a result, an organization administrator could perform privileged account-management actions, such as initiating a password reset workflow, against a higher-privileged site administrator account in the same organization. Successful exploitation may allow an authenticated organization administrator to interfere with or potentially take over a site administrator account, resulting in privilege escalation and full compromise of the MISP instance’s confidentiality, integrity, and availability. Attack prerequisites: The attacker must be authenticated as an organization administrator in the same organization as a site administrator account.

