MISP before 2.4.166 unsafely allows users to use the order parameter, related to app/Model/Attribute.php, app/Model/GalaxyCluster.php, app/Model/Workflow.php, and app/Plugin/Assets/models/behaviors/LogableBehavior.php.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMisp Project Misp
APPMisp-Project< 2.4.166
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Referencje
Powiązane podatności
CVE-2026-56425CRITICAL9.3PL ✓ten sam produkt
MISP: Wielokrotne słabości implementacji OAuth 2.0 z AAD – session fixation i inne
CVE-2026-56447CRITICAL9.3PL ✓ten sam produkt
MISP: RCE przez złośliwy plik konfiguracyjny rdkafka (CWE-829)
CVE-2026-56423CRITICAL9.4PL ✓ten sam produkt
MISP: błędna kontrola dostępu w masowym usuwaniu obiektów (CWE-862)
CVE-2026-44381CRITICAL9.3PL ✓ten sam produkt
SQL Injection w MISP — manipulacja parametrami sortowania zapytań
CVE-2024-29858CRITICAL9.8PL ✓ten sam produkt
MISP: Nieprawidłowa weryfikacja przesyłanego logo organizacji