製品・ソフトウェアに関する情報

JVN脆弱性詳細

MISPにおける情報漏えいに関する脆弱性

Title	MISPにおける情報漏えいに関する脆弱性
Summary	MISPダッシュボードウィジェットの脆弱性により、認証済みユーザーがfieldsオプションを操作し、新規ユーザーおよび新規組織ウィジェットによって返されるフィールドに影響を与えることが可能でした。場合によっては、検証や編集後に空になるフィールドセットを要求すると、基盤となるクエリが意図しないモデルフィールドを返すことがありました。新規ユーザーウィジェットでは、サイト管理者でないユーザーが、ユーザーのメールアドレスの公開が設定で無効になっている場合でも、メールアドレスを取得できる可能性がありました。新規組織ウィジェットでは、細工されたフィールド選択により、同様に意図しない組織フィールドがダッシュボードの応答に含まれる可能性がありました。この問題は、フィールドフィルタリングと編集の処理が選択されたフィールドリストを空にする可能性があったことに起因しています。パッチでは、許可されたフィールドリストが安全に構築されること、ユーザー提供のフィールド選択処理前にユーザーメールアドレスなどの制限されたフィールドが除去されること、空のフィールド選択時には許可されたデフォルトフィールドにのみフォールバックすることを保証しています。影響として、影響を受けるダッシュボードウィジェットにアクセスできる認証済みの権限の低いユーザーが、設定に応じてユーザーメールアドレスを含む制限されたユーザーまたは組織のメタデータを開示できる可能性があります。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
Solution	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date	June 4, 2026, midnight
Registration Date	June 9, 2026, 2:10 p.m.
Last Update	June 9, 2026, 2:10 p.m.

CVSS3.0 : 警告
Score	4.3
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Affected System

MISP

MISP 2.5.39 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-10864	https://www.cve.org/CVERecord?id=CVE-2026-10864
National Vulnerability Database (NVD)
2	CVE-2026-10864	https://nvd.nist.gov/vuln/detail/CVE-2026-10864

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

その他

No	Name	URL
関連文書
1	fix: [security] dashboard data leakage MISP/MISP@8722fda GitHub	https://github.com/MISP/MISP/commit/8722fda035b5b622de387ae1dd0159d71ff1e22e

Change Log

No	Changed Details	Date of change
1	[2026年06月09日] 掲載	June 9, 2026, 2:10 p.m.

NVD Vulnerability Information

CVE-2026-10864

Summary	A vulnerability in the MISP dashboard widgets allowed an authenticated user to manipulate the fields option and influence which fields were returned by the New Users and New Organisations widgets. In some cases, requesting a field set that became empty after validation or redaction could cause the underlying query to fall back to returning unintended model fields. For the New Users widget, this could allow a non-site-admin user to obtain user e-mail addresses even when user e-mail disclosure was disabled by configuration. For the New Organisations widget, crafted field selection could similarly result in unintended organisation fields being included in the dashboard response. The issue was caused by applying field filtering and redaction in a way that could leave the selected field list empty. The patch ensures that the allowed field list is built safely, that restricted fields such as user e-mail addresses are removed before user-supplied field selection is processed, and that an empty field selection falls back only to the permitted default fields. Impact: An authenticated low-privileged user with access to the affected dashboard widgets may be able to disclose restricted user or organisation metadata, including user e-mail addresses depending on configuration.
Publication Date	June 5, 2026, 12:16 a.m.
Registration Date	June 5, 2026, 4:10 a.m.
Last Update	June 8, 2026, 9:59 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:misp:misp::::::::					2.5.39

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/MISP/MISP/commit/8722fda035b5b622de387ae1dd0159d71ff1e22e	5a6e4751-2f3f-4070-9419-94fb35b644e8

Common Vulnerabilities List