製品・ソフトウェアに関する情報

JVN脆弱性詳細

MISPにおける入力確認に関する脆弱性

Title	MISPにおける入力確認に関する脆弱性
Summary	関連性の過剰関連エンドポイントにおいて、orderクエリパラメータがユーザー制御の名前付きリクエストパラメータから受け入れられていたというセキュリティ問題が修正されました。これにより認証済みユーザーがサーバー定義の過剰相関値の順序を上書きできていました。基盤となるデータアクセス層で値がどのように処理されるかによっては、データベースクエリの順序操作が可能になり、アプリケーションが安全でないクエリ構築にさらされる可能性がありました。パッチでは、orderをリクエスト制御パラメータのセットから削除し、代わりに許可されたユーザーパラメータを処理した後に順序をサーバー側で発生回数の降順（occurrence desc）に設定しています。影響を受けるコンポーネントはapp/Controller/CorrelationsController.phpのoverCorrelations()メソッドです。セキュリティへの影響として、認証された攻撃者が過剰関連クエリに使用される順序指定句に影響を与える可能性があります。直接的な影響はクエリの操作に限定されるように見えますが、さらに証拠が得られればSQLインジェクションや操作された順序指定式を通じた不正なデータ露出の可能性があると考えられます。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date	June 4, 2026, midnight
Registration Date	June 9, 2026, 2:10 p.m.
Last Update	June 9, 2026, 2:10 p.m.

CVSS3.0 : 重要
Score	8.1
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Affected System

MISP

MISP 2.5.39 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-10863	https://www.cve.org/CVERecord?id=CVE-2026-10863
National Vulnerability Database (NVD)
2	CVE-2026-10863	https://nvd.nist.gov/vuln/detail/CVE-2026-10863

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

その他

No	Name	URL
関連文書
1	fix: [security] order field MISP/MISP@aa094a3 GitHub	https://github.com/MISP/MISP/commit/aa094a335ba2855f8a42a1dc44398f43560fe247

Change Log

No	Changed Details	Date of change
1	[2026年06月09日] 掲載	June 9, 2026, 2:10 p.m.

NVD Vulnerability Information

CVE-2026-10863

Summary	A security issue was fixed in the correlations over-correlation endpoint where the order query parameter was accepted from user-controlled named request parameters. This allowed an authenticated user to override the server-defined ordering of over-correlating values. Depending on how the value was processed by the underlying data access layer, this could allow manipulation of database query ordering and potentially expose the application to unsafe query construction. The patch removes order from the set of request-controlled parameters and instead sets the ordering server-side to occurrence desc after processing allowed user parameters. Affected component: app/Controller/CorrelationsController.php, overCorrelations() Security impact: An authenticated attacker could influence the ordering clause used by the over-correlations query. The direct impact appears limited to query manipulation unless further evidence confirms SQL injection or unauthorized data exposure through the manipulated ordering expression.
Publication Date	June 5, 2026, 12:16 a.m.
Registration Date	June 5, 2026, 4:10 a.m.
Last Update	June 8, 2026, 10:35 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:misp:misp::::::::					2.5.39

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/MISP/MISP/commit/aa094a335ba2855f8a42a1dc44398f43560fe247	5a6e4751-2f3f-4070-9419-94fb35b644e8

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html