PT-2026-51307 · Misp Core · Misp Core
Andras Iklody
+2
·
Publicado
2026-06-22
·
Atualizado
2026-06-22
·
CVE-2026-56423
CVSS v4.0
9.4
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
MISP Core (versões afetadas não especificadas)
Descrição
Falhas de controle de acesso existem nos fluxos de exclusão em massa para Relatórios de Eventos (Event Reports) e Grupos de Compartilhamento (Sharing Groups). Os manipuladores
deleteSelection autorizavam exclusões usando permissões amplas de nível de função em vez de validar a autorização para cada objeto selecionado. Para Relatórios de Eventos, a função EventReportsController::deleteSelection dependia da capacidade global perm add, permitindo que usuários de nível de contribuidor excluíssem permanentemente relatórios de outras organizações ao enviar IDs ou UUIDs de relatórios. Para Grupos de Compartilhamento, a função SharingGroupsController::deleteSelection dependia da capacidade global perm sharing group, permitindo que usuários excluíssem grupos de compartilhamento de outras organizações. Um invasor autenticado com essas permissões amplas de função poderia excluir objetos fora do escopo de autorização de sua organização, resultando na perda de conteúdo de relatórios de eventos ou configurações de grupos de compartilhamento em toda a instância.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Misp Core