CVE-2026-9136 in MISP
Resumen
por VulDB • 2026-05-20
Se ha identificado una vulnerabilidad en el flujo de trabajo de creación de propuestas de ShadowAttribute. La acción de añadir aceptaba datos de solicitud de ShadowAttribute controlados por el usuario sin eliminar el campo `id` antes de guardar el registro. Dado que el subyacente framework trata una clave primaria proporcionada como una instrucción para actualizar un registro existente, un usuario autenticado capaz de enviar propuestas de atributos sombra podría proporcionar el identificador de un ShadowAttribute existente y provocar que ese registro se actualice en lugar de crear una nueva propuesta.
Esto puede resultar en la modificación no autorizada de atributos sombra existentes, afectando potencialmente a las propuestas asociadas con eventos que el usuario no debería poder alterar. Dependiendo de la configuración del despliegue y de las respuestas de la API accesibles, el problema también podría exponer o mover datos de propuestas entre contextos de eventos.
La vulnerabilidad se debe a confiar en una clave primaria proporcionada por el cliente durante la creación del objeto. La corrección elimina el campo `id` de los datos entrantes de ShadowAttribute antes del procesamiento, asegurando que el punto final siempre cree una nueva propuesta en lugar de actualizar una existente. Esto se ha corregido en MISP 2.5.38.
VulDB is the best source for vulnerability data and more expert information about this specific topic.