CVE-2026-10856 in MISPالمعلومات

الملخص

بحسب VulDB • 04/06/2026

يُتيح عيب في التحقق من صحة عناوين URL في أداة زر لوحة تحكم MISP قبول عنوان URL يبدو نسبيًا كمسار محلي، بينما تفسره المتصفحات على أنه عنوان URL خارجي. رفض التحقق العناوين التي تحتوي على مخطط صريح، أو مضيف، أو مكون مستخدم، لكنه لم يرفض المسارات التي تبدأ بمسافة مائلة متبوعة بمسافة مائلة خلفية، مثل `/\example.com`. تقوم بعض المتصفحات بتطبيع المسافات المائلة الخلفية في عناوين URL لتصبح مسافات مائلة أمامية، مما قد يحول هذا إلى هدف تنقل خارجي يعتمد على المخطط. بالإضافة إلى ذلك، يقوم `href` المُولَّد بدمج عنوان URL المعاد بناؤه مع عنوان URL الأصلي، مما يزيد من احتمالية إنشاء روابط غير آمنة أو غير سليمة.

يمكن لمهاجم قادر على تكوين أو التأثير في عنوان URL لزر لوحة التحكم أن يصمم زرًا يبدو أنه يشير إلى داخل التطبيق، لكنه يعيد توجيه المستخدمين إلى موقع يتحكم فيه المهاجم عند النقر عليه. يمكن استخدام هذا لأغراض التصيد الاحتيالي، وسرقة بيانات الاعتماد، أو الهندسة الاجتماعية. يصلح التصحيح هذه المشكلة عن طريق رفض المسارات الفارغة والمسارات التي تبدأ بـ `/\`، وإصدار عنوان URL المعاد بناؤه والمُتحقق من صحته فقط في خاصية `href` للعنصر `<a>`.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

CIRCL

حجز

04/06/2026

إفشاء

04/06/2026

الاعتدال

تمت الموافقة

إدخال

VDB-368341

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-10856
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-10856
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-10856/

التالي نظرة عامة السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!