| タイトル | MISP projectのMalware Information Sharing Platform (MISP)における認証の欠如に関する脆弱性 |
|---|---|
| 概要 | MISP Coreには、イベントレポートおよび共有グループの一括削除処理においてアクセス制御の欠陥がありました。影響を受けるdeleteSelectionハンドラーは、各選択オブジェクトの認可を検証する代わりに、広範なロールレベルの権限で削除を許可していました。イベントレポートに関しては、EventReportsController::deleteSelectionはレポートごとの所有権や認可チェックを行わず、グローバルなperm_add権限に依存していました。そのため、寄稿者レベルのユーザーが他組織のレポートIDまたはUUIDを送信し、インスタンス全体でハード削除できる状態でした。修正により削除前に各選択レポートについてEventReport::fetchIfAuthorized($user, $itemId, 'delete')が呼ばれるようになりました。共有グループに関しては、SharingGroupsController::deleteSelectionが各選択共有グループの所有権を検証せず、グローバルなperm_sharing_group権限に依存していました。これにより、共有グループ権限を持つユーザーが他組織の共有グループをハード削除でき、単一オブジェクト削除時に使用される所有権ゲートを回避していました。修正で各選択共有グループに対しSharingGroup::checkIfOwner($user, $itemId)が呼ばれるように変更されました。認証済みで該当の広範なロール権限を持つ攻撃者は、影響を受ける一括削除エンドポイントを悪用し、自組織の認可範囲外のオブジェクトを削除できるため、インスタンス全体でイベントレポート内容や共有グループ設定が失われる可能性があります。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月22日0:00 |
| 登録日 | 2026年6月26日11:52 |
| 最終更新日 | 2026年6月26日11:52 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| MISP project |
| Malware Information Sharing Platform (MISP) 2.5.42 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月26日] 掲載 |
2026年6月26日11:52 |
| 概要 | MISP Core contained broken access-control checks in the bulk deletion flows for Event Reports and Sharing Groups. The affected deleteSelection handlers authorized deletion using broad role-level permissions instead of validating authorization for each selected object. For Event Reports, EventReportsController::deleteSelection relied on the global perm_add capability rather than a per-report ownership/authorization check. As a result, a contributor-level user could submit report IDs or UUIDs for reports belonging to other organisations and hard-delete them instance-wide. The fix changed the callback to call EventReport::fetchIfAuthorized($user, $itemId, 'delete') for each selected report before deletion. For Sharing Groups, SharingGroupsController::deleteSelection relied on the global perm_sharing_group capability rather than verifying ownership of each selected sharing group. This allowed a sharing-group-capable user to hard-delete sharing groups owned by other organisations, bypassing the per-object ownership gate used by the single-object delete action. The fix changed the callback to call SharingGroup::checkIfOwner($user, $itemId) for each selected sharing group. An authenticated attacker with the relevant broad role permission could abuse the affected bulk deletion endpoints to delete objects outside their organisation’s authorization scope, causing loss of event-report content or sharing-group configuration across the instance. |
|---|---|
| 公表日 | 2026年6月22日23:17 |
| 登録日 | 2026年6月27日4:09 |
| 最終更新日 | 2026年6月24日0:16 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:misp-project:misp:*:*:*:*:*:*:*:* | 2.5.42 | ||||