PT-2026-48973 · Misp · Misp
Andras Iklody
+1
·
Publicado
2026-06-12
·
Atualizado
2026-06-14
·
CVE-2026-54361
CVSS v4.0
8.8
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
MISP (versões afetadas não especificadas)
Descrição
Diversas falhas de atribuição em massa (mass assignment) existem no processamento de coleções, coleções de tags, delegações de eventos e atributos shadow. Certas ações de controle aceitam campos fornecidos pelo usuário que deveriam ser controlados pelo servidor, especificamente identificadores de registro e campos de propriedade como
id, org id, orgc id e user id. Um invasor autenticado pode criar requisições para esses endpoints para alterar a propriedade de objetos, redirecionar atualizações para outros registros, sobrescrever requisições de delegação de eventos ou modificar propostas de atributos shadow de outras organizações. Isso pode resultar na modificação não autorizada de objetos e no potencial acesso ou transferência não autorizada de dados sensíveis de inteligência de ameaças. As funções afetadas incluem CollectionsController::edit(), EventDelegationsController::delegateEvent(), ShadowAttributesController::edit(), TagCollectionsController::edit() e TagCollectionsController::editWithTags().Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Misp