CRITICAL🇬🇧 English

CVE-2026-56423

MISP: błędna kontrola dostępu w masowym usuwaniu obiektów (CWE-862)

CVSS 9.4v4.0pub. 2026-06-22upd. 2026-06-23

MISP Core zawierał nieprawidłowe mechanizmy kontroli dostępu w funkcjach masowego usuwania Event Reports oraz Sharing Groups. Uwierzytelniony atakujący z odpowiednimi uprawnieniami roli mógł trwale usuwać obiekty należące do innych organizacji, omijając weryfikację uprawnień per-obiekt.

Pokaż oryginał (EN)

MISP Core contained broken access-control checks in the bulk deletion flows for Event Reports and Sharing Groups. The affected deleteSelection handlers authorized deletion using broad role-level permissions instead of validating authorization for each selected object. For Event Reports, EventReportsController::deleteSelection relied on the global perm_add capability rather than a per-report ownership/authorization check. As a result, a contributor-level user could submit report IDs or UUIDs for reports belonging to other organisations and hard-delete them instance-wide. The fix changed the callback to call EventReport::fetchIfAuthorized($user, $itemId, 'delete') for each selected report before deletion. For Sharing Groups, SharingGroupsController::deleteSelection relied on the global perm_sharing_group capability rather than verifying ownership of each selected sharing group. This allowed a sharing-group-capable user to hard-delete sharing groups owned by other organisations, bypassing the per-object ownership gate used by the single-object delete action. The fix changed the callback to call SharingGroup::checkIfOwner($user, $itemId) for each selected sharing group. An authenticated attacker with the relevant broad role permission could abuse the affected bulk deletion endpoints to delete objects outside their organisation’s authorization scope, causing loss of event-report content or sharing-group configuration across the instance.

🤖 Analiza AI
Jak działa

Handlery deleteSelection dla Event Reports i Sharing Groups sprawdzały jedynie ogólne uprawnienia roli użytkownika (perm_add lub perm_sharing_group), zamiast weryfikować autoryzację dla każdego wskazanego obiektu z osobna. W przypadku Event Reports kontroler EventReportsController::deleteSelection nie wywoływał per-raportowego sprawdzenia własności, co pozwalało użytkownikowi na poziomie contributora przesłać identyfikatory raportów (ID lub UUID) należących do innych organizacji i trwale je usunąć z całej instancji. Analogicznie SharingGroupsController::deleteSelection pomijał sprawdzenie własności per-obiekt (SharingGroup::checkIfOwner), umożliwiając użytkownikowi z uprawnieniem perm_sharing_group usunięcie grup współdzielenia należących do innych organizacji.

Skutki

Atakujący może trwale usunąć raporty zdarzeń oraz grupy współdzielenia należące do dowolnych organizacji w obrębie całej instancji MISP, powodując nieodwracalną utratę danych i konfiguracji bez możliwości ich odtworzenia.

Mitygacja

Należy zastosować patche dostępne w repozytorium GitHub projektu MISP zgodnie z commitami ada02fa6d7558732aa4712fd5e9451cd8c5b7a64 (fix dla Event Reports) oraz f99b3f16ef22c7acf10e17036c777759cf031c15 (fix dla Sharing Groups). Po aktualizacji handlery deleteSelection weryfikują autoryzację per-obiekt przed każdym usunięciem.

Kogo dotyczy

MISP Core (projekt MISP/MISP) — wersje wskazane w referencjach producenta (commits: ada02fa6d7558732aa4712fd5e9451cd8c5b7a64 oraz f99b3f16ef22c7acf10e17036c777759cf031c15)

Uwagi

Podatność wymaga posiadania aktywnego konta w instancji MISP z uprawnieniem perm_add (dla Event Reports) lub perm_sharing_group (dla Sharing Groups) — nie jest możliwa eksploatacja przez nieuwierzytelnionego użytkownika. Operacja usunięcia jest nieodwracalna (hard-delete), co zwiększa potencjalny wpływ incydentu.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Misp Project Misp

    APP
    Misp-Project
    < 2.5.42
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-56425CRITICAL9.3PL ✓ten sam produkt

MISP: Wielokrotne słabości implementacji OAuth 2.0 z AAD – session fixation i inne

CVE-2026-56447CRITICAL9.3PL ✓ten sam produkt

MISP: RCE przez złośliwy plik konfiguracyjny rdkafka (CWE-829)

CVE-2026-44381CRITICAL9.3PL ✓ten sam produkt

SQL Injection w MISP — manipulacja parametrami sortowania zapytań

CVE-2024-29858CRITICAL9.8PL ✓ten sam produkt

MISP: Nieprawidłowa weryfikacja przesyłanego logo organizacji

CVE-2024-29859CRITICAL9.8PL ✓ten sam produkt

MISP: Nieprawidłowa walidacja uploadu pliku umożliwia RCE