CVE-2026-9136

Nome do Software Vulnerável e Versões Afetadas MISP versões anteriores a 2.5.38

Description Um problema existe no fluxo de criação de propostas de ShadowAttribute onde a ação de adição aceita dados de solicitação controlados pelo usuário sem remover o campo id antes de salvar o registro. Como a estrutura subjacente interpreta uma chave primária fornecida como uma instrução para atualizar um registro existente, um usuário autenticado pode fornecer o identificador de um ShadowAttribute existente para atualizá-lo em vez de criar uma nova proposta. Isso pode levar à modificação não autorizada de atributos shadow existentes, afetando potencialmente propostas associadas a eventos que o usuário não tem permissão para alterar. Dependendo da configuração de implantação e das respostas da API, isso também pode expor ou mover dados de propostas entre contextos de eventos.

Recommendations Atualizar para a versão 2.5.38.