CVE-2026-41522 in iris-webinformation

Résumé

par VulDB • 04/06/2026

Iris est une plateforme collaborative web qui aide les intervenants en cas d'incident à partager des détails techniques lors des enquêtes. Avant la version 2.4.28, DFIR-IRIS expose un point de terminaison GraphQL optionnel à l'adresse `/graphql` qui n'applique pas les mêmes vérifications d'autorisation que l'API REST. Tout utilisateur authentifié peut en abuser de trois manières : lecture non autorisée des IOC (Indicators of Compromise) entre les cas (IDOR), divulgation massive d'IOC via `case.iocs`. Le résolveur `case(caseId: …).iocs` renvoie les IOC liés à un cas arbitraire sans vérifier que l'appelant a accès à ce cas, et création non autorisée de cas. Les trois vulnérabilités sont accessibles par tout utilisateur authentifié, quel que soit son rôle ou les ACL de cas. Cela est corrigé dans la version v2.4.28. Le schéma GraphQL, les résolveurs et les dépendances (`graphene`, `graphene-sqlalchemy`, `graphql-server[flask]`) ont été supprimés entièrement, car la fonctionnalité n'était pas utilisée. En attendant, bloquez `/graphql` au niveau du proxy inverse (recommandé) ou commentez l'importation de `graphql_blueprint` et l'appel `register_blueprint` dans `source/app/views.py`, puis redémarrez.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

20/04/2026

Divulgation

04/06/2026

Modérer

accepté

Entrée

VDB-368408

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41522
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41522
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41522/

PrécédentAperçuSuivant

Want to stay up to date on a daily basis?

Enable the mail alert feature now!