PT-2026-48971 · Misp · Misp
Andras Iklody
·
Publicado
2026-06-12
·
Atualizado
2026-06-12
·
CVE-2026-54359
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:H/VA:N/SC:N/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
MISP (versões afetadas não especificadas)
Descrição
Existe uma configuração padrão insegura na qual o controle
Security.check sec fetch site header está desativado. Isso permite que solicitações de alteração de estado, como POST, PUT ou solicitações AJAX, sejam processadas sem restrições baseadas no cabeçalho Sec-Fetch-Site fornecido pelo navegador. Um invasor remoto não autenticado pode criar uma página web maliciosa que induz o navegador de um usuário autenticado a enviar solicitações cross-site para endpoints de automação. Essas solicitações forjadas são processadas com os privilégios da vítima, o que pode levar à modificação não autorizada de dados ou configurações.Recomendações
Ative a configuração
Security.check sec fetch site header.
Operadores de implantações multi-homed devem validar essa configuração antes da aplicação.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Misp