製品・ソフトウェアに関する情報

JVN脆弱性詳細

MISPにおける認証の欠如に関する脆弱性

Title	MISPにおける認証の欠如に関する脆弱性
Summary	MISPイベントテンプレートインポーターの上書きワークフローに認可の欠陥が存在していました。イベントテンプレートを上書きモードでインポートする際、アプリケーションは既存のテンプレートが存在するかどうかを確認していましたが、インポートするユーザーが既存テンプレートを所有する組織に所属しているかどうかは検証していませんでした。その結果、テンプレートインポート機能にアクセスできる認証されたユーザーが、他の組織が所有するイベントテンプレートを強制的に上書きできました。成功した悪用により、他組織のイベントテンプレートを不正に変更でき、テンプレートの構造、属性、または後続のイベント作成や共有ワークフローに使用されるメタデータが変更される可能性があります。サイト管理者は組織を超えたテンプレートの上書きを明示的に許可されているため、この制限は影響しません。この問題は、上書きの前に所有権チェックを強制することで修正されました。つまり、サイト管理者以外のユーザーは自分の組織が所有するテンプレートのみを上書きできるようになりました。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date	June 4, 2026, midnight
Registration Date	June 9, 2026, 2:10 p.m.
Last Update	June 9, 2026, 2:10 p.m.

CVSS3.0 : 警告
Score	4.3
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Affected System

MISP

MISP 2.5.39 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-10855	https://www.cve.org/CVERecord?id=CVE-2026-10855
National Vulnerability Database (NVD)
2	CVE-2026-10855	https://nvd.nist.gov/vuln/detail/CVE-2026-10855

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-862	https://cwe.mitre.org/data/definitions/862.html

その他

No	Name	URL
関連文書
1	fix: [security] event template importer - check for ownership on over… MISP/MISP@7c2200d GitHub	https://github.com/MISP/MISP/commit/7c2200d143bef86aaf58d701b6968a843097db69

Change Log

No	Changed Details	Date of change
1	[2026年06月09日] 掲載	June 9, 2026, 2:10 p.m.

NVD Vulnerability Information

CVE-2026-10855

Summary	An authorization flaw existed in the MISP Event Template Importer overwrite workflow. When importing an event template in overwrite mode, the application checked whether a matching template already existed but did not verify that the importing user belonged to the organization that owned the existing template. As a result, an authenticated user with access to the template import functionality could forcibly overwrite an event template owned by another organization. Successful exploitation could allow unauthorized modification of another organization’s event template, potentially altering template structure, attributes, or metadata used for subsequent event creation or sharing workflows. Site administrators are not affected by this restriction, as they are explicitly allowed to overwrite templates across organizations. The issue was fixed by enforcing an ownership check before overwrite: non-site-admin users may only overwrite templates owned by their own organization.
Publication Date	June 4, 2026, 11:16 p.m.
Registration Date	June 5, 2026, 4:10 a.m.
Last Update	June 8, 2026, 11:03 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:misp:misp::::::::					2.5.39

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/MISP/MISP/commit/7c2200d143bef86aaf58d701b6968a843097db69	5a6e4751-2f3f-4070-9419-94fb35b644e8

Common Vulnerabilities List