製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

MISPにおける認証の欠如に関する脆弱性

タイトル	MISPにおける認証の欠如に関する脆弱性
概要	MISPイベントテンプレートインポーターの上書きワークフローに認可の欠陥が存在していました。イベントテンプレートを上書きモードでインポートする際、アプリケーションは既存のテンプレートが存在するかどうかを確認していましたが、インポートするユーザーが既存テンプレートを所有する組織に所属しているかどうかは検証していませんでした。その結果、テンプレートインポート機能にアクセスできる認証されたユーザーが、他の組織が所有するイベントテンプレートを強制的に上書きできました。成功した悪用により、他組織のイベントテンプレートを不正に変更でき、テンプレートの構造、属性、または後続のイベント作成や共有ワークフローに使用されるメタデータが変更される可能性があります。サイト管理者は組織を超えたテンプレートの上書きを明示的に許可されているため、この制限は影響しません。この問題は、上書きの前に所有権チェックを強制することで修正されました。つまり、サイト管理者以外のユーザーは自分の組織が所有するテンプレートのみを上書きできるようになりました。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年6月4日0:00
登録日	2026年6月9日14:10
最終更新日	2026年6月9日14:10

CVSS3.0 : 警告
スコア	4.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

影響を受けるシステム

MISP

MISP 2.5.39 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-10855	https://www.cve.org/CVERecord?id=CVE-2026-10855
National Vulnerability Database (NVD)
2	CVE-2026-10855	https://nvd.nist.gov/vuln/detail/CVE-2026-10855

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-862	https://cwe.mitre.org/data/definitions/862.html

その他

No	名前	URL
関連文書
1	fix: [security] event template importer - check for ownership on over… MISP/MISP@7c2200d GitHub	https://github.com/MISP/MISP/commit/7c2200d143bef86aaf58d701b6968a843097db69

変更履歴

No	変更内容	変更日
1	[2026年06月09日] 掲載	2026年6月9日14:10

NVD脆弱性情報

CVE-2026-10855

概要	An authorization flaw existed in the MISP Event Template Importer overwrite workflow. When importing an event template in overwrite mode, the application checked whether a matching template already existed but did not verify that the importing user belonged to the organization that owned the existing template. As a result, an authenticated user with access to the template import functionality could forcibly overwrite an event template owned by another organization. Successful exploitation could allow unauthorized modification of another organization’s event template, potentially altering template structure, attributes, or metadata used for subsequent event creation or sharing workflows. Site administrators are not affected by this restriction, as they are explicitly allowed to overwrite templates across organizations. The issue was fixed by enforcing an ownership check before overwrite: non-site-admin users may only overwrite templates owned by their own organization.
公表日	2026年6月4日23:16
登録日	2026年6月5日4:10
最終更新日	2026年6月8日23:03

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:misp:misp::::::::					2.5.39

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/MISP/MISP/commit/7c2200d143bef86aaf58d701b6968a843097db69	5a6e4751-2f3f-4070-9419-94fb35b644e8

共通脆弱性一覧