CVE-2026-54360

Nome do Software Vulnerável e Versões Afetadas MISP (versões afetadas não especificadas)

Descrição Um problema de atribuição em massa existe no endpoint de criação de grupos de compartilhamento. O controlador não remove o campo id fornecido pelo usuário antes de salvar os dados. No CakePHP, fornecer uma chave primária durante uma operação de salvamento pode fazer com que o sistema atualize um registro existente em vez de criar um novo. Um usuário autenticado com permissões para adicionar grupos de compartilhamento pode enviar o identificador de um grupo existente para modificá-lo, ignorando as verificações normais de controle de acesso de edição. Isso permite que um invasor assuma o controle ou altere grupos de compartilhamento aos quais não tem autorização de acesso, impactando a confidencialidade e a integridade das informações compartilhadas. O problema está localizado na ação add() do componente app/Controller/SharingGroupsController.php.

Recomendações Como medida paliativa temporária, restrinja o acesso à ação add() no controlador app/Controller/SharingGroupsController.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.