CVE-2026-60125 in MISPinformazioni

Riassunto

di VulDB • 08/07/2026

La funzione `importModule()` di MISP utilizzava `getEnabledModule()` per risolvere un singolo modulo di importazione in base al nome, ma questa ricerca non applicava il vincolo per organizzazione controllato da `getEnabledModules()`. Di conseguenza, un utente autenticato appartenente a un’organizzazione che non aveva l’autorizzazione all’utilizzo di un modulo limitato tramite la configurazione `Plugin.Import_<module>_restrict` poteva comunque invocare direttamente tale modulo di importazione se ne conosceva il nome.

Ciò potrebbe consentire l’accesso non autorizzato alla funzionalità del modulo di importazione limitata e, a seconda del modulo e dei permessi dell’utente sugli eventi, potrebbe permettere l’importazione o la modifica non autorizzate dei dati degli eventi attraverso un modulo che avrebbe dovuto essere indisponibile per l’organizzazione dell’utente.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

CIRCL

Prenotare

08/07/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!