| Summary | MISP core contained multiple broken access-control flaws where authorization checks were performed against the wrong entity, or where ownership/editability checks were missing on write paths. In affected subsystems, a lower-privileged authenticated user with the relevant feature permission could cause the application to authorize one object but mutate another, or could modify objects that were merely visible rather than editable by the user’s organization. The affected paths included: * Event Reports tag removal: the route-authorized report could differ from the report ID used for tag detachment, enabling cross-organization tag removal from another event report * Collection Elements bulk deletion: bulk deletion authorized against a collection whose ID matched the collection-element row ID, rather than the element’s actual parent collection, enabling deletion of elements from collections the user did not own. Successful exploitation could allow an authenticated user with subsystem-specific permissions to perform unauthorized cross-organization modifications or deletions of MISP data, resulting in integrity loss, unauthorized tampering with shared intelligence, and disruption of analyst workflows. |
|---|---|
| Publication Date | June 22, 2026, 11:17 p.m. |
| Registration Date | June 27, 2026, 4:09 a.m. |
| Last Update | June 24, 2026, 12:16 a.m. |
| CVSS3.1 : HIGH | |
| スコア | 8.8 |
|---|---|
| Vector | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 低 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:misp-project:misp:*:*:*:*:*:*:*:* | 2.5.42 | ||||
| Title | MISP projectのMalware Information Sharing Platform (MISP)における複数の脆弱性 |
|---|---|
| Summary | MISPコアには複数のアクセス制御の不具合があり、認可チェックが誤ったエンティティに対して実行されることや、書き込み経路で所有権および編集権のチェックが欠如していました。影響を受けるサブシステムでは、関連する機能権限を持つ権限の低い認証済みユーザーが、あるオブジェクトの認可を受けていながら別のオブジェクトを変更したり、ユーザーの組織が閲覧可能だが編集権限のないオブジェクトを変更することが可能でした。影響を受けるパスは以下の通りです。 * イベントレポートのタグ削除:ルート認可されたレポートとタグ解除に使用されるレポートIDが異なり、別組織の他のイベントレポートからタグを削除できました。 * コレクション要素の一括削除:一括削除がコレクション要素の行IDと一致するコレクションIDに対して認可されており、要素の親コレクションのIDではなかったため、ユーザーが所有していないコレクションから要素を削除できます。 * アナリストデータの取得・更新:入れ子になったアナリストデータの更新がcanEditAnalystDataの所有権チェックを適用せずに既存レコードを上書きでき、組織間でアナリストデータレコードを上書き可能でした。 * テンプレート要素の編集:テンプレート要素のIDと一致するテンプレートに対して編集が認可されていましたが、実際の親テンプレートではなかったため、別組織のテンプレート要素を不正に編集できました。 * 減衰モデルの編集およびマッピング:書き込み経路がビュー・スコープのアクセスを使ってモデルを読み込んでいたものの編集所有権を確認せず、別組織が所有する表示可能なモデルを編集または再マッピングできました。 これらの不具合を悪用すると、特定サブシステムの権限を持つ認証済みユーザーがMISPデータの組織間で不正な変更や削除を行い、整合性を喪失させ、共有インテリジェンスの不正改ざんやアナリストのワークフロー混乱を引き起こす可能性があります。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date | June 22, 2026, midnight |
| Registration Date | June 26, 2026, 11:52 a.m. |
| Last Update | June 26, 2026, 11:52 a.m. |
| MISP project |
| Malware Information Sharing Platform (MISP) 2.5.42 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月26日] 掲載 |
June 26, 2026, 11:52 a.m. |