CVE-2026-56447
| Summary |
MISP allowed an authenticated site administrator to set the Kafka_rdkafka_config setting to an arbitrary filesystem path. MISP subsequently parsed the referenced INI file and passed its options to rdkafka. A crafted attacker-controlled configuration file could use rdkafka options such as plugin.library.paths to load an external library, resulting in arbitrary code execution with the privileges of the MISP process. An attacker could leverage a MISP-writable location, such as an uploaded file or administrative image, to host the malicious configuration file.
The issue is fixed by restricting the setting to absolute .ini files located only in approved configuration directories outside the webroot and MISP upload targets.
|
| Publication Date |
June 22, 2026, 11:17 p.m. |
| Registration Date |
June 27, 2026, 4:09 a.m. |
| Last Update |
June 23, 2026, 11:16 p.m. |
|
CVSS3.1 : HIGH
|
| スコア |
7.2
|
| Vector |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃に必要な特権レベル(PR) |
高 |
| 利用者の関与(UI) |
不要 |
| 影響の想定範囲(S) |
変更なし |
| 機密性への影響(C) |
高 |
| 完全性への影響(I) |
高 |
| 可用性への影響(A) |
高 |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:misp-project:misp:*:*:*:*:*:*:*:* |
|
|
|
2.5.42 |
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
MISP projectのMalware Information Sharing Platform (MISP)における信頼できない制御領域からの機能の組み込みに関する脆弱性
| Title |
MISP projectのMalware Information Sharing Platform (MISP)における信頼できない制御領域からの機能の組み込みに関する脆弱性
|
| Summary |
MISPは認証されたサイト管理者にKafka_rdkafka_config設定を任意のファイルシステムパスに設定させることを許可していました。MISPはその後、参照されたINIファイルを解析し、そのオプションをrdkafkaに渡していました。作成された攻撃者制御の設定ファイルは、plugin.library.pathsのようなrdkafkaオプションを使用して外部ライブラリを読み込み、結果としてMISPプロセスの権限で任意のコードを実行させる可能性があります。攻撃者はアップロードファイルや管理用画像など、MISPが書き込み可能な場所を利用して悪意のある設定ファイルをホストする可能性があります。問題は、設定をウェブルートおよびMISPアップロードターゲット外の認可された設定ディレクトリ内の絶対パス.iniファイルのみに制限することで修正されました。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 22, 2026, midnight |
| Registration Date |
June 26, 2026, 11:52 a.m. |
| Last Update |
June 26, 2026, 11:52 a.m. |
Affected System
| MISP project |
|
Malware Information Sharing Platform (MISP) 2.5.42 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月26日]
掲載 |
June 26, 2026, 11:52 a.m. |