CVE-2026-61474 in MISP
要約
〜によって VulDB • 2026年07月10日
MISPの属性作成エンドポイントにおける不適切な認可チェックにより、属性を追加する権限を持つ認証済みユーザーが、共有グループIDを指定しても対応する共有グループの認可チェックを引き起こすことなく送信することができました。これは、属性の配布値が明示的に「4」(「sharing group」)に設定されていない場合に限り可能でした。
その結果、ユーザーは自分が使用することを許可されていない共有グループを参照または関連付けることができました。これにより、アクセス制御のエスケープが発生し、属性共有メタデータの整合性に影響を与える可能性があります。さらに、制限された共有グループの関係を不正に公開したり悪用したりするリスクも生じます。
このパッチでは、配布値に関係なく、空でないsharing_group_idが提供されるたびに共有グループの権限チェックが行われるように認可ロジックを変更しました。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.