Katalog CVE

CVE-2026-54360

WysokieCVSS 8.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

W MISP występuje podatność na masowe przypisanie w punkcie końcowym tworzenia grupy udostępniania. Kontroler nie usunął pola id dostarczonego przez użytkownika przed zapisaniem danych, co może prowadzić do nieautoryzowanej modyfikacji istniejących grup udostępniania.

Ocena ryzyka

Użytkownik z odpowiednimi uprawnieniami może zmodyfikować grupy udostępniania, do których normalnie nie ma dostępu, co zagraża poufności i integralności informacji w tych grupach.

Rekomendacja

Zaleca się usunięcie pola id z danych przed ich zapisaniem oraz przeprowadzenie przeglądu uprawnień użytkowników do tworzenia grup udostępniania.

Oryginalny opis (angielski, źródło NVD)

A mass assignment vulnerability exists in MISP’s sharing group creation endpoint. When creating a new sharing group, the controller did not remove a user-supplied id field before saving the submitted data. In CakePHP, supplying a primary key in the save data can cause a create() followed by save() operation to update an existing record instead of creating a new one. An authenticated user with permission to add sharing groups could therefore submit the identifier of an existing sharing group and modify that sharing group without passing the normal edit access-control checks. This may allow the attacker to take over or alter sharing groups they do not otherwise have access to, potentially affecting the confidentiality and integrity of information shared through those groups. Affected component: app/Controller/SharingGroupsController.php, add() action

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS