CVE-2026-10856

Nome do Software Vulnerável e Versões Afetadas MISP (versões afetadas não especificadas)

Description Uma falha de validação de URL no widget de botão do painel permite que uma URL manipulada com aparência de relativa seja aceita como um caminho local, enquanto os navegadores a interpretam como uma URL externa. O processo de validação rejeita URLs com esquemas, hosts ou componentes de usuário explícitos, mas não rejeita caminhos que começam com uma barra seguida de uma barra invertida (ex: /example.com). Como alguns navegadores normalizam barras invertidas como barras normais, isso pode resultar em um destino de navegação externa relativo ao esquema. Além disso, o href gerado concatena a URL reconstruída com a URL original, o que pode levar à geração de links inseguros ou malformados. Um invasor capaz de configurar ou influenciar a URL de um botão do painel poderia criar um botão que parece apontar internamente, mas redireciona os usuários para um site controlado pelo invasor, facilitando phishing, roubo de credenciais ou engenharia social.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.