Katalog CVE

CVE-2026-54394

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

MISP zawiera podatność na przejście ścieżki w metodzie OrganisationsController::getOrgLogo. Kod podatny buduje ścieżki do plików logo organizacji, wykorzystując pola kontrolowane przez organizację, co pozwala atakującemu na dostęp do plików spoza zamierzonego katalogu.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do uzyskania dostępu do dowolnych plików .png lub .svg, co może prowadzić do ujawnienia wrażliwych informacji. To stwarza ryzyko dla bezpieczeństwa danych organizacji.

Rekomendacja

Zaleca się aktualizację MISP do najnowszej wersji, która naprawia tę podatność poprzez użycie funkcji realpath() do weryfikacji ścieżek plików. Należy również monitorować i ograniczać dostęp do pól kontrolowanych przez organizacje.

Oryginalny opis (angielski, źródło NVD)

MISP contains a path traversal vulnerability in OrganisationsController::getOrgLogo. The vulnerable code builds organisation logo file paths using organisation-controlled fields such as id, name, and uuid without ensuring that the resolved file remains inside the intended APP/files/img/orgs/ directory. An attacker able to influence an organisation field, for example the organisation name, could use path traversal sequences to cause MISP to return arbitrary readable .png or .svg files from outside the organisation logo directory. The issue is fixed by resolving candidate paths with realpath() and verifying that they remain under the expected base directory before serving the file.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS