Jeroen Pinoy

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Descrição** Diversas falhas de atribuição em massa (mass assignment) existem no processamento de coleções, coleções de tags, delegações de eventos e atributos shadow. Certas ações de controle aceitam campos fornecidos pelo usuário que deveriam ser controlados pelo servidor, especificamente identificadores de registro e campos de propriedade como `id`, `org id`, `orgc id` e `user id`. Um invasor autenticado pode criar requisições para esses endpoints para alterar a propriedade de objetos, redirecionar atualizações para outros registros, sobrescrever requisições de delegação de eventos ou modificar propostas de atributos shadow de outras organizações. Isso pode resultar na modificação não autorizada de objetos e no potencial acesso ou transferência não autorizada de dados sensíveis de inteligência de ameaças. As funções afetadas incluem `CollectionsController::edit()`, `EventDelegationsController::delegateEvent()`, `ShadowAttributesController::edit()`, `TagCollectionsController::edit()` e `TagCollectionsController::editWithTags()`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Descrição** Um problema de atribuição em massa existe no endpoint de criação de grupos de compartilhamento. O controlador não remove o campo `id` fornecido pelo usuário antes de salvar os dados. No CakePHP, fornecer uma chave primária durante uma operação de salvamento pode fazer com que o sistema atualize um registro existente em vez de criar um novo. Um usuário autenticado com permissões para adicionar grupos de compartilhamento pode enviar o identificador de um grupo existente para modificá-lo, ignorando as verificações normais de controle de acesso de edição. Isso permite que um invasor assuma o controle ou altere grupos de compartilhamento aos quais não tem autorização de acesso, impactando a confidencialidade e a integridade das informações compartilhadas. O problema está localizado na ação `add()` do componente `app/Controller/SharingGroupsController.php`. **Recomendações** Como medida paliativa temporária, restrinja o acesso à ação `add()` no controlador `app/Controller/SharingGroupsController.php` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Descrição** Um problema no caminho de edição de eventos não-REST permite que um usuário autenticado com permissões de edição de eventos manipule os dados do formulário enviado. Ao adulterar a solicitação de edição do evento, um usuário pode definir a variável `sharing group id` para um grupo de compartilhamento que não tem autorização para usar. Isso ocorre porque o caminho de salvamento não-REST não realiza a verificação de autorização do grupo de compartilhamento que é aplicada pelo caminho de edição REST quando a distribuição é definida para distribuição de grupo de compartilhamento. Isso pode levar ao uso não autorizado de grupos de compartilhamento restritos, divulgação de nomes de grupos de compartilhamento em listagens de eventos e modificação não intencional dos metadados de distribuição do evento. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Description** Um problema de divulgação de informações existe na funcionalidade de edição de AuthKey. Quando ocorre um erro de validação durante uma solicitação de edição de AuthKey, o menu suspenso de usuário é preenchido usando o valor `AuthKey.user id` fornecido nos dados da solicitação. Um usuário autenticado com permissões para editar um AuthKey pode enviar IDs de usuário arbitrários para observar os dados retornados no menu suspenso, o que permite a enumeração de endereços de e-mail de usuários. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Descrição** Um problema de cross-site scripting refletido existe na visualização do índice de eventos UiBeta. O valor de `urlparams` é inserido em um manipulador JavaScript inline usando escape HTML dentro de uma string JavaScript com aspas simples. Como os navegadores decodificam valores de atributos HTML antes da análise do JavaScript, um valor `searcheventinfo` especialmente criado pode restaurar caracteres de aspas codificados para romper a string JavaScript. Isso permite que um invasor crie uma URL maliciosa que executa JavaScript arbitrário no navegador da vítima dentro do contexto da instância MISP. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Description** Um problema de path traversal existe na função `getOrgLogo()` do `OrganisationsController`. O software constrói caminhos de arquivos para logotipos de organizações usando campos controlados pela organização, como `id`, `name` e `uuid`, sem verificar se o caminho resultante permanece dentro do diretório pretendido `APP/files/img/orgs/`. Um invasor que consiga modificar um campo de organização, como o nome da organização, pode usar sequências de path traversal para recuperar arquivos `.png` ou `.svg` legíveis arbitrários de locais fora do diretório de logotipos designado. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Description** Um problema de cross-site scripting (XSS) armazenado existe ao utilizar o tema Overmind. O endpoint 'setHomePage' salva o valor `path` controlado pelo usuário através da função `setSettingInternal()`, que ignora a lógica de validação do `setSetting()` e a verificação `validate homepage`, que exige que os caminhos comecem com /. Isso permite que um usuário autenticado armazene um valor arbitrário, como um script malicioso. O valor é posteriormente renderizado em 'app/View/News/index.ctp' como o atributo href do link “Continue to homepage” sem a devida codificação HTML, permitindo a execução de JavaScript controlado por um invasor no contexto do navegador da instância afetada. **Recommendations** Atualize o software para uma versão onde a configuração da página inicial seja persistida através de `setSetting()` para garantir que as verificações de validação e acesso sejam aplicadas, e onde o valor da página inicial seja codificado em HTML antes de ser renderizado na visualização de notícias.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Description** Uma condição de visibilidade incorreta no construtor de modelos de eventos permite que usuários autenticados que não sejam administradores do site visualizem galáxias que não deveriam estar visíveis para sua organização. O problema decorre de uma condição de controle de acesso personalizada que utiliza uma expressão de comparação PHP em vez de uma condição de consulta para restringir as galáxias àquelas pertencentes à organização do usuário ou distribuídas além dela. Consequentemente, galáxias habilitadas, incluindo galáxias personalizadas exclusivas de organização pertencentes a outras organizações, podem ser expostas na lista de galáxias do construtor de modelos, potencialmente revelando metadados sobre definições de galáxias privadas para usuários não autorizados. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Descrição** Existe uma falha de autorização no processamento de adição/edição de objetos. Um usuário autenticado com permissões de edição de objetos pode atribuir um objeto MISP, ou atributos contidos em um objeto, a um grupo de compartilhamento que o usuário não tem autorização para usar ou visualizar. Isso ocorre porque a validação do grupo de compartilhamento é realizada contra uma estrutura de dados de solicitação incorreta após os campos do objeto terem sido mesclados ao nível superior, fazendo com que a verificação seja ignorada. Além disso, atributos incorporados em objetos não são validados individualmente para o uso autorizado do grupo de compartilhamento. Um invasor pode criar uma solicitação com `distribution` definido como 4 e um `sharing group id` arbitrário, potencialmente revelando a existência ou o nome de grupos de compartilhamento não visíveis e modificando inadequadamente os metadados de distribuição de objetos ou atributos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Cerebrate versões anteriores a 1.37 **Description** Um invasor autenticado pode realizar a modificação não autorizada de registros ao fornecer o campo de chave primária `id` por meio da entrada de solicitação durante operações de edição CRUD e fluxos específicos de patching de entidades personalizadas. Em entidades onde o `id` não está explicitamente marcado como inacessível, uma solicitação manipulada contendo o `id` de outro registro faz com que a operação de salvamento atualize esse registro não relacionado em vez do registro identificado pelo parâmetro da rota. Este problema afeta tipos de entidades com padrões de atribuição em massa permissivos, como User, Role, UserSetting, LocalTool, PermissionLimitation e EnumerationCollection. Como a funcionalidade de edição de UserSettings é acessível a qualquer usuário autenticado, isso pode levar a modificações não autorizadas de registros, dependendo dos campos graváveis e do endpoint utilizado. **Recommendations** Atualizar para a versão 1.37.

**Nome do Software Vulnerável e Versões Afetadas** Cerebrate versões anteriores a 1.37 **Descrição** Um problema de atribuição em massa (mass-assignment) existe no caminho de adição CRUD genérico. O manipulador `add()` falha ao remover adequadamente um `id` fornecido por um invasor de `$params` antes que a solicitação seja normalizada via ` massageInput()`. Consequentemente, o `$input` normalizado ainda pode conter um campo `id`, permitindo que um usuário forneça um identificador que deveria ser controlado pelo servidor. Isso pode levar à criação de objetos com identificadores escolhidos pelo invasor, resultando em manipulação de dados não autorizada, falsificação de objetos, referências inconsistentes ou interrupção por colisões de identificadores. **Recomendações** Atualizar para a versão 1.37.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Description** Uma falha de autorização existe no fluxo de trabalho de sobrescrita do Importador de Modelos de Eventos. Ao importar um modelo de evento no modo de sobrescrita, a aplicação verifica se existe um modelo correspondente, mas não confirma se o usuário que realiza a importação pertence à organização proprietária desse modelo. Isso permite que um usuário autenticado sobrescreva forçadamente um modelo de evento de outra organização, podendo alterar sua estrutura, atributos ou metadados. Administradores do site não são afetados por este problema. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Description** Um problema de atribuição em massa existe na funcionalidade de edição de usuário. A aplicação não filtra adequadamente os campos fornecidos pelo usuário na função `UsersController::edit()`, permitindo a aceitação de um valor `User.id` controlado pelo usuário a partir dos dados da requisição. Um invasor autenticado pode criar uma requisição modificada contendo um identificador de usuário diferente para aplicar atualizações a uma conta não pretendida. Isso pode levar à modificação não autorizada de atributos de contas de usuário e comprometer a integridade da conta. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Description** Um problema nos widgets do painel permite que um usuário autenticado manipule a opção de campos para influenciar os dados retornados pelos widgets New Users e New Organisations. Quando um conjunto de campos solicitado torna-se vazio após a validação ou redação, a consulta subjacente pode retornar campos de modelo não pretendidos. Isso pode permitir que um usuário que não seja administrador do site exponha metadados restritos, como endereços de e-mail de usuários, mesmo que a divulgação de e-mails esteja desativada na configuração. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** O nome do produto não pôde ser determinado (versões afetadas não especificadas) **Descrição** Existe um problema no endpoint 'over-correlation' onde o parâmetro de consulta `order` é aceito a partir de parâmetros de requisição nomeados controlados pelo usuário. Isso permite que um usuário autenticado substitua a ordenação definida pelo servidor de valores de sobre-correlação. Dependendo do processamento pela camada de acesso a dados subjacente, isso pode levar à manipulação da ordenação da consulta ao banco de dados e potencialmente expor a aplicação a uma construção de consulta insegura. O problema está localizado na função `overCorrelations()` dentro do componente `app/Controller/CorrelationsController.php`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Description** Um erro de lógica no manipulador de exclusão do componente CRUD permite que falhas de validação sejam ignoradas ao utilizar o método HTTP DELETE. Isso ocorre porque a ausência de parênteses na condição de exclusão faz com que a expressão seja avaliada como `($validationError === null && POST) || DELETE`, permitindo que uma requisição DELETE prossiga mesmo que o callback de validação de exclusão tenha rejeitado a operação. Um invasor autenticado com acesso a um endpoint de exclusão afetado pode explorar isso para excluir registros que deveriam estar protegidos por verificações de autorização ou validação em nível de aplicação. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Descrição** Um redirecionamento aberto ocorre na função `routeafterlogin()` do UsersController porque o valor armazenado na chave de sessão `pre login requested url` é usado como o destino de redirecionamento pós-login sem a verificação suficiente de que se trata de um caminho de aplicação local. Um invasor remoto não autenticado pode criar um link que direciona a vítima para uma instância confiável do MISP; após a autenticação bem-sucedida, a vítima é redirecionada para uma URL externa controlada pelo invasor. Isso pode ser usado para facilitar ataques de phishing, redirecionar usuários para páginas de login falsas ou entregar conteúdo malicioso de um domínio não confiável. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MISP (versões afetadas não especificadas) **Description** Uma falha de validação de URL no widget de botão do painel permite que uma URL manipulada com aparência de relativa seja aceita como um caminho local, enquanto os navegadores a interpretam como uma URL externa. O processo de validação rejeita URLs com esquemas, hosts ou componentes de usuário explícitos, mas não rejeita caminhos que começam com uma barra seguida de uma barra invertida (ex: `/example.com`). Como alguns navegadores normalizam barras invertidas como barras normais, isso pode resultar em um destino de navegação externa relativo ao esquema. Além disso, o `href` gerado concatena a URL reconstruída com a URL original, o que pode levar à geração de links inseguros ou malformados. Um invasor capaz de configurar ou influenciar a URL de um botão do painel poderia criar um botão que parece apontar internamente, mas redireciona os usuários para um site controlado pelo invasor, facilitando phishing, roubo de credenciais ou engenharia social. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: MISP versão 2.4.139 Descrição: Foi detectada uma falha na implementação dos Grupos de Compartilhamento, na qual o sinalizador `all org`, em alguns casos, concedia acesso de visualização a usuários não autorizados. Isso ocorreu devido a um problema no arquivo app/Model/SharingGroupServer.php. Recomendações: Para a versão 2.4.139 do MISP, considere restringir o acesso ao recurso Grupos de Compartilhamento até que uma correção esteja disponível. Como solução temporária, revise e ajuste as configurações do sinalizador `all org` para garantir que estejam corretamente definidas e não forneçam acesso indesejado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.