CVE-2026-54398
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
W MISP występuje luka autoryzacji w obsłudze dodawania/edycji obiektów, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do edycji obiektów przypisać obiekt MISP lub jego atrybuty do grupy udostępniania, do której nie ma uprawnień. Walidacja grupy udostępniania jest wykonywana na niewłaściwej strukturze danych, co umożliwia obejście tego sprawdzenia.
Ocena ryzyka
Atakujący może wykorzystać tę lukę do ujawnienia istnienia lub nazwy grup udostępniania, które są niewidoczne dla użytkownika, oraz do niewłaściwej modyfikacji metadanych dystrybucji obiektów lub ich atrybutów. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych informacji.
Rekomendacja
Zaleca się przegląd i poprawę mechanizmów walidacji grup udostępniania w MISP, aby upewnić się, że użytkownicy nie mogą przypisywać obiektów do grup, do których nie mają uprawnień. Należy również przeprowadzić audyt uprawnień użytkowników oraz monitorować wszelkie nieautoryzowane zmiany.
Oryginalny opis (angielski, źródło NVD)
An authorization flaw in MISP’s object add/edit handling allowed an authenticated user with object editing permissions to assign a MISP object, or attributes contained within an object, to a sharing group that the user was not authorized to use or view. When editing objects, the sharing group validation was performed against the wrong request data structure after object fields had been merged to the top level, causing the check to be bypassed. In addition, attributes embedded in objects were not individually validated for authorized sharing group use. An attacker could craft a request with distribution set to 4 and an arbitrary sharing_group_id, potentially disclosing the existence or name of otherwise non-visible sharing groups and improperly modifying the distribution metadata of objects or contained attributes.

