CRITICAL🇬🇧 English

CVE-2026-56447

MISP: RCE przez złośliwy plik konfiguracyjny rdkafka (CWE-829)

CVSS 9.3v4.0pub. 2026-06-22upd. 2026-06-23

Uwierzytelniony administrator serwisu MISP mógł wskazać dowolną ścieżkę systemu plików jako konfigurację rdkafka, co pozwalało na załadowanie zewnętrznej biblioteki i wykonanie dowolnego kodu. Podatność jest krytyczna, ponieważ skutkuje pełnym przejęciem kontroli nad procesem MISP.

Pokaż oryginał (EN)

MISP allowed an authenticated site administrator to set the Kafka_rdkafka_config setting to an arbitrary filesystem path. MISP subsequently parsed the referenced INI file and passed its options to rdkafka. A crafted attacker-controlled configuration file could use rdkafka options such as plugin.library.paths to load an external library, resulting in arbitrary code execution with the privileges of the MISP process. An attacker could leverage a MISP-writable location, such as an uploaded file or administrative image, to host the malicious configuration file. The issue is fixed by restricting the setting to absolute .ini files located only in approved configuration directories outside the webroot and MISP upload targets.

🤖 Analiza AI
Jak działa

Podatność wynika z braku walidacji ścieżki do pliku INI ustawianego przez parametr Kafka_rdkafka_config — atakujący z uprawnieniami administratora serwisu mógł wskazać dowolny plik w systemie plików. MISP parsował wskazany plik INI i przekazywał jego opcje bezpośrednio do biblioteki rdkafka. Spreparowany plik konfiguracyjny mógł zawierać opcję plugin.library.paths wskazującą na złośliwą bibliotekę dynamiczną. Atakujący mógł umieścić taką bibliotekę w lokalizacji dostępnej do zapisu przez MISP, np. jako przesłany plik lub obraz administracyjny, a następnie wywołać jej załadowanie i wykonanie kodu z uprawnieniami procesu MISP.

Skutki

Atakujący może wykonać dowolny kod (RCE) z uprawnieniami procesu MISP, co może prowadzić do przejęcia systemu, wycieku wrażliwych danych wywiadowczych oraz naruszenia integralności instancji MISP i systemów z nią skomunikowanych.

Mitygacja

Należy zastosować patch dostępny w repozytorium GitHub MISP (commit 9600d486ccfc98388e13897fd954350cebac5fb0). Poprawka ogranicza parametr Kafka_rdkafka_config wyłącznie do bezwzględnych ścieżek plików .ini znajdujących się w zatwierdzonych katalogach konfiguracyjnych poza webroot i katalogami uploadu MISP. Do czasu aktualizacji zaleca się ograniczenie liczby kont z uprawnieniami administratora serwisu oraz monitorowanie zmian konfiguracji Kafka.

Kogo dotyczy

MISP (Misp-Project/MISP) — wersje wskazane w referencjach producenta; podatność dotyczy instancji z włączoną integracją Kafka/rdkafka i dostępem administratora serwisu

Uwagi

Podatność wymaga uprawnień administratora serwisu (PR:H), co ogranicza powierzchnię ataku, jednak w środowiskach z wieloma administratorami lub po przejęciu konta administratora ryzyko eskalacji jest wysokie. Poprawka została opublikowana w dniu zgłoszenia CVE (2026-06-22).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Misp Project Misp

    APP
    Misp-Project
    < 2.5.42
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-56423CRITICAL9.4PL ✓ten sam produkt

MISP: błędna kontrola dostępu w masowym usuwaniu obiektów (CWE-862)

CVE-2026-56425CRITICAL9.3PL ✓ten sam produkt

MISP: Wielokrotne słabości implementacji OAuth 2.0 z AAD – session fixation i inne

CVE-2026-44381CRITICAL9.3PL ✓ten sam produkt

SQL Injection w MISP — manipulacja parametrami sortowania zapytań

CVE-2024-29858CRITICAL9.8PL ✓ten sam produkt

MISP: Nieprawidłowa weryfikacja przesyłanego logo organizacji

CVE-2024-29859CRITICAL9.8PL ✓ten sam produkt

MISP: Nieprawidłowa walidacja uploadu pliku umożliwia RCE