PT-2026-48994 · Misp · Misp
Andras Iklody
+1
·
Publicado
2026-06-12
·
Atualizado
2026-06-12
·
CVE-2026-54362
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
MISP (versões afetadas não especificadas)
Description
Uma condição de visibilidade incorreta no construtor de modelos de eventos permite que usuários autenticados que não sejam administradores do site visualizem galáxias que não deveriam estar visíveis para sua organização. O problema decorre de uma condição de controle de acesso personalizada que utiliza uma expressão de comparação PHP em vez de uma condição de consulta para restringir as galáxias àquelas pertencentes à organização do usuário ou distribuídas além dela. Consequentemente, galáxias habilitadas, incluindo galáxias personalizadas exclusivas de organização pertencentes a outras organizações, podem ser expostas na lista de galáxias do construtor de modelos, potencialmente revelando metadados sobre definições de galáxias privadas para usuários não autorizados.
Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Misp