| Title | MISPにおけるオープンリダイレクトの脆弱性 |
|---|---|
| Summary | MISPダッシュボードのボタンウィジェットにおけるURL検証の欠陥により、ブラウザが外部URLとして解釈する相対的に見えるURLがローカルパスとして受け入れられてしまいました。この検証は明示的なスキーム、ホスト、またはユーザーコンポーネントを含むURLを拒否しましたが、スラッシュに続いてバックスラッシュが付くパス(例:/\example.com)を拒否しませんでした。一部のブラウザはURL内のバックスラッシュをスラッシュに正規化するため、これがスキーム相対の外部ナビゲーションターゲットになる可能性があります。さらに、生成されたhrefは再構築されたURLに元のURLを連結しており、不安全または不正なリンクが生成される可能性を高めていました。攻撃者がダッシュボードのボタンURLを設定または操作できる場合、アプリケーション内部を指しているように見えるボタンを作成し、クリック時にユーザーを攻撃者管理下のサイトにリダイレクトさせることが可能です。これによって、フィッシングや資格情報の窃取、ソーシャルエンジニアリングが発生する恐れがあります。本修正では、空のパスおよび/\で始まるパスを拒否し、アンカータグのhrefには再構築された検証済みのURLのみを出力することで問題を解決しています。 |
| Possible impacts | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date | June 4, 2026, midnight |
| Registration Date | June 9, 2026, 2:10 p.m. |
| Last Update | June 9, 2026, 2:10 p.m. |
| CVSS3.0 : 警告 | |
| Score | 6.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| MISP |
| MISP 2.5.39 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月09日] 掲載 |
June 9, 2026, 2:10 p.m. |
| Summary | A URL validation flaw in the MISP dashboard button widget allowed a crafted relative-looking URL to be accepted as a local path while being interpreted by browsers as an external URL. The validation rejected URLs containing an explicit scheme, host, or user component, but did not reject paths beginning with a slash followed by a backslash, such as /\example.com. Some browsers normalize backslashes in URLs as forward slashes, which can turn this into a scheme-relative external navigation target. In addition, the generated href concatenated the reconstructed URL with the original URL, increasing the possibility of unsafe or malformed link generation. An attacker able to configure or influence a dashboard button URL could craft a button that appears to point inside the application but redirects users to an attacker-controlled site when clicked. This could be used for phishing, credential theft, or social engineering. The patch fixes the issue by rejecting empty paths and paths starting with /\, and by emitting only the reconstructed validated URL in the anchor href. |
|---|---|
| Publication Date | June 4, 2026, 11:16 p.m. |
| Registration Date | June 5, 2026, 4:10 a.m. |
| Last Update | June 8, 2026, 10:59 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:misp:misp:*:*:*:*:*:*:*:* | 2.5.39 | ||||