CVE-2026-10860

Nome do Software Vulnerável e Versões Afetadas MISP (versões afetadas não especificadas)

Description Um erro de lógica no manipulador de exclusão do componente CRUD permite que falhas de validação sejam ignoradas ao utilizar o método HTTP DELETE. Isso ocorre porque a ausência de parênteses na condição de exclusão faz com que a expressão seja avaliada como ($validationError === null && POST) || DELETE, permitindo que uma requisição DELETE prossiga mesmo que o callback de validação de exclusão tenha rejeitado a operação. Um invasor autenticado com acesso a um endpoint de exclusão afetado pode explorar isso para excluir registros que deveriam estar protegidos por verificações de autorização ou validação em nível de aplicação.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.