Katalog CVE

CVE-2026-56422

KrytyczneCVSS 9.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 — wyżej niż 28% wszystkich znanych CVE

Streszczenie

Wielokrotne kontrolery rdzenia MISP oraz ścieżki modelu akceptowały pola żądań kontrolowane przez klienta, takie jak klucze główne i klucze obce, bez odpowiedniego weryfikowania ich przez serwer. Umożliwia to uwierzytelnionemu użytkownikowi przesyłanie zmodyfikowanych danych, co może prowadzić do nadpisania obiektów lub nieautoryzowanego dostępu do danych.

Ocena ryzyka

Organizacja może być narażona na poważne naruszenia bezpieczeństwa, w tym nieautoryzowane udostępnianie danych i manipulację obiektami, co może prowadzić do utraty integralności danych oraz zaufania użytkowników.

Rekomendacja

Zaleca się wdrożenie poprawek, które usuwają klucze główne dostarczane przez klienta oraz weryfikują identyfikatory przed operacjami zapisu. Należy również zapewnić, że pola dotyczące własności nie mogą być edytowane przez użytkowników.

Oryginalny opis (angielski, źródło NVD)

Multiple MISP core controllers and model capture paths accepted client-controlled request fields such as primary keys (id) and ownership/scope foreign keys (event_id, org_id, user_id, sharing_group_id, galaxy_cluster_uuid, organisation_uuid, and related nested object identifiers) without consistently stripping, pinning, or revalidating them against the server-authorized object. In affected paths, an authenticated user with access to one authorized object could submit crafted REST or form payloads that caused MISP to save data against a different object than the one checked by the authorization logic. Depending on the endpoint, this could allow object overwrite, object re-parenting, ownership transfer, unauthorized sharing-group scoping, event/object injection, proposal retargeting, or stored attacker-controlled content appearing in another user’s context. The fixes harden affected create/edit/import flows by stripping client-supplied primary keys on create-only saves, re-pinning route- or database-authorized identifiers before save operations, validating effective sharing-group scope, and adding field whitelists where ownership fields must never be editable. The initial broad fix also added a central CRUDComponent::edit() primary-key re-pin so payload-supplied IDs cannot redirect saves away from the already-authorized row. GitHub’s patch for 7acf8220c describes this central issue as CRUDComponent::edit() copying supplied fields, including a payload primary key, onto the loaded record, allowing CakePHP save() to update an arbitrary row unless the loaded ID is re-pinned.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS