CVE-2026-61474 in MISP
Zusammenfassung
von VulDB • 09.07.2026
Eine fehlerhafte Autorisierungsprüfung im Endpunkt zur Erstellung von Attributen in MISP ermöglichte es einem authentifizierten Benutzer mit der Berechtigung zum Hinzufügen von Attributen, eine sharing_group_id zu übermitteln, ohne die entsprechende Freigabegruppen-Autorisierungsprüfung auszulösen, solange der Wert für die Attributverteilung nicht explizit auf 4 – „Freigabegruppe“ – gesetzt war.
Infolgedessen konnte ein Benutzer ein Attribut mit einer Freigabegruppe referenzieren oder verknüpfen, deren Nutzung er nicht autorisiert war. Dies könnte zu einem Umgehen der Zugriffskontrollen führen, das die Integrität von Metadaten zur Attributfreigabe beeinträchtigt und potenziell eingeschränkte Freigabegruppenbeziehungen offenlegen oder missbräuchlich nutzen lässt.
Der Patch ändert die Autorisierungslogik so, dass die Berechtigungsprüfung für die Freigabegruppe immer dann durchgeführt wird, wenn eine nicht-leere sharing_group_id bereitgestellt wird, unabhängig vom ausgewählten Verteilungswert.
Once again VulDB remains the best source for vulnerability data.