CRITICAL🇬🇧 English

CVE-2026-44381

SQL Injection w MISP — manipulacja parametrami sortowania zapytań

CVSS 9.3v4.0pub. 2026-05-13upd. 2026-06-22

W platformie MISP przed wersją 2.5.37 istnieje podatność SQL injection w mechanizmie obsługi parametrów sortowania dla endpointów listowania zdarzeń i atrybutów shadow. Atakujący z dostępem do podatnych endpointów może manipulować generowanymi zapytaniami SQL, co grozi nieautoryzowanym dostępem do danych lub modyfikacją zachowania bazy danych.

Pokaż oryginał (EN)

MISP is an open source threat intelligence and sharing platform. Prior to 2.5.37, a SQL injection vulnerability existed in the handling of user-controlled ordering parameters in the event and shadow attribute listing endpoints. The affected code accepted order or sort values from request parameters and incorporated them into database query ordering clauses without sufficient validation of the requested field name. An attacker with access to the affected endpoints could craft a malicious ordering parameter to manipulate the generated SQL query. Depending on database permissions and query context, this could potentially allow unauthorized access to data, modification of query behavior, or other database-level impact. This vulnerability is fixed in 2.5.37.

🤖 Analiza AI
Jak działa

Podatne endpointy odpowiedzialne za listowanie zdarzeń (event) oraz atrybutów shadow akceptowały wartości parametrów 'order' lub 'sort' bezpośrednio z żądań HTTP. Wartości te były następnie włączane do klauzul ORDER BY zapytań SQL bez wystarczającej walidacji nazwy pola. Brak odpowiedniej sanityzacji umożliwia atakującemu spreparowanie złośliwego parametru sortowania, który modyfikuje strukturę wykonywanego zapytania SQL. Skutki zależą od uprawnień bazy danych i kontekstu zapytania.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie lub zmodyfikować zachowanie zapytań bazodanowych, co może prowadzić do ujawnienia wrażliwych informacji wywiadowczych lub naruszenia integralności danych.

Mitygacja

Należy zaktualizować MISP do wersji 2.5.37 lub nowszej, w której podatność została usunięta. Szczegółowe informacje dostępne są w referencjach producenta pod adresem: https://github.com/MISP/MISP/security/advisories/GHSA-4cxp-22wm-j6jr

Kogo dotyczy

MISP w wersjach przed 2.5.37

Uwagi

Podatność wymaga posiadania dostępu do podatnych endpointów MISP (uwierzytelnienie lub dostęp sieciowy do instancji). Poprawka dostępna jest w wersji 2.5.37 zgodnie z oficjalnym advisory GitHub Security.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Misp Project Misp

    APP
    Misp-Project
    < 2.5.37
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-56447CRITICAL9.3PL ✓ten sam produkt

MISP: RCE przez złośliwy plik konfiguracyjny rdkafka (CWE-829)

CVE-2026-56423CRITICAL9.4PL ✓ten sam produkt

MISP: błędna kontrola dostępu w masowym usuwaniu obiektów (CWE-862)

CVE-2026-56425CRITICAL9.3PL ✓ten sam produkt

MISP: Wielokrotne słabości implementacji OAuth 2.0 z AAD – session fixation i inne

CVE-2024-29858CRITICAL9.8PL ✓ten sam produkt

MISP: Nieprawidłowa weryfikacja przesyłanego logo organizacji

CVE-2024-29859CRITICAL9.8PL ✓ten sam produkt

MISP: Nieprawidłowa walidacja uploadu pliku umożliwia RCE