| Title | MISPにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| Summary | MISPにおけるWebページ生成時の入力の不適切な無害化(XSSまたはクロスサイトスクリプティング)により、格納型XSSの脆弱性が存在します。この問題はMISPのバージョン2.5.37以前に影響します。テンプレートの要素属性処理ロジックには格納型クロスサイトスクリプティングの脆弱性があります。アプリケーションはTemplateElementAttributeタイプおよびカテゴリフィールドに対して、既知のMISP属性タイプおよびカテゴリ定義に対する検証を行わずに任意の値を受け入れていました。テンプレート要素属性を作成または変更する権限を持つ攻撃者は、細工されたタイプ値を格納することが可能です。この脆弱性は旧テンプレートエンジン(2.5.37以降は利用不可)に影響し、2.5.38で削除される予定です。 |
| Possible impacts | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date | May 7, 2026, midnight |
| Registration Date | May 13, 2026, 10:21 a.m. |
| Last Update | May 13, 2026, 10:21 a.m. |
| CVSS3.0 : 警告 | |
| Score | 5.4 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| MISP |
| MISP 2.5.37 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月13日] 掲載 |
May 13, 2026, 10:21 a.m. |
| Summary | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in misp allows Stored XSS. This issue affects MISP before 2.5.37. A stored cross-site scripting vulnerability exists in the template element attribute handling logic. The application accepted arbitrary values for the TemplateElementAttribute type and category fields without validating them against the known MISP attribute type and category definitions. An attacker with permission to create or modify template element attributes could store a crafted type value. This affects the old templating (not more accessible in 2.5.37) engine from MISP which will be removed in 2.5.38 |
|---|---|
| Publication Date | May 7, 2026, 9:16 p.m. |
| Registration Date | May 8, 2026, 4:09 a.m. |
| Last Update | May 12, 2026, 12:21 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:misp:misp:*:*:*:*:*:*:*:* | 2.5.37 | ||||