CVE-2026-54393
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 — wyżej niż 29% wszystkich znanych CVE
Streszczenie
W MISP występuje podatność na przechowywane ataki XSS, gdy używany jest motyw Overmind. Użytkownik uwierzytelniony może zapisać dowolną wartość strony głównej, w tym ładunek XSS, co prowadzi do wykonania złośliwego JavaScript w kontekście przeglądarki.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania złośliwego kodu JavaScript w przeglądarkach użytkowników, co może prowadzić do kradzieży danych lub przejęcia sesji.
Rekomendacja
Zaleca się aktualizację MISP do najnowszej wersji, aby zapewnić, że ustawienia strony głównej są zawsze walidowane i odpowiednio zabezpieczane przed renderowaniem.
Oryginalny opis (angielski, źródło NVD)
A stored cross-site scripting vulnerability exists in MISP when the Overmind theme is used. The setHomePage endpoint previously saved the user-controlled path value through setSettingInternal(), bypassing the normal setSetting() validation logic, including validate_homepage, which requires homepage paths to start with /. As a result, an authenticated user could store an arbitrary homepage value, including an XSS payload. The stored value was later rendered in app/View/News/index.ctp as the href attribute of the “Continue to homepage” link without HTML escaping. This could allow execution of attacker-controlled JavaScript in the browser context of the affected MISP instance when the crafted homepage link is rendered and interacted with. The issue is fixed by always persisting the homepage setting through setSetting(), ensuring validation and access checks are applied, and by HTML-escaping the homepage value before rendering it in the news view.

