NVD脆弱性詳細

CVE-2026-56447

概要	MISP allowed an authenticated site administrator to set the Kafka_rdkafka_config setting to an arbitrary filesystem path. MISP subsequently parsed the referenced INI file and passed its options to rdkafka. A crafted attacker-controlled configuration file could use rdkafka options such as plugin.library.paths to load an external library, resulting in arbitrary code execution with the privileges of the MISP process. An attacker could leverage a MISP-writable location, such as an uploaded file or administrative image, to host the malicious configuration file. The issue is fixed by restricting the setting to absolute .ini files located only in approved configuration directories outside the webroot and MISP upload targets.
公表日	2026年6月22日23:17
登録日	2026年6月27日4:09
最終更新日	2026年6月23日23:16

CVSS3.1 : HIGH
スコア	7.2
ベクター	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	高
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:misp-project:misp::::::::					2.5.42

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/MISP/MISP/commit/9600d486ccfc98388e13897fd954350cebac5fb0	5a6e4751-2f3f-4070-9419-94fb35b644e8

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-829	信頼性のない制御領域からの機能の組み込み	https://cwe.mitre.org/data/definitions/829.html

JVN脆弱性情報

MISP projectのMalware Information Sharing Platform (MISP)における信頼できない制御領域からの機能の組み込みに関する脆弱性

タイトル	MISP projectのMalware Information Sharing Platform (MISP)における信頼できない制御領域からの機能の組み込みに関する脆弱性
概要	MISPは認証されたサイト管理者にKafka_rdkafka_config設定を任意のファイルシステムパスに設定させることを許可していました。MISPはその後、参照されたINIファイルを解析し、そのオプションをrdkafkaに渡していました。作成された攻撃者制御の設定ファイルは、plugin.library.pathsのようなrdkafkaオプションを使用して外部ライブラリを読み込み、結果としてMISPプロセスの権限で任意のコードを実行させる可能性があります。攻撃者はアップロードファイルや管理用画像など、MISPが書き込み可能な場所を利用して悪意のある設定ファイルをホストする可能性があります。問題は、設定をウェブルートおよびMISPアップロードターゲット外の認可された設定ディレクトリ内の絶対パス.iniファイルのみに制限することで修正されました。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年6月22日0:00
登録日	2026年6月26日11:52
最終更新日	2026年6月26日11:52

影響を受けるシステム

MISP project

Malware Information Sharing Platform (MISP) 2.5.42 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-56447	https://www.cve.org/CVERecord?id=CVE-2026-56447
National Vulnerability Database (NVD)
2	CVE-2026-56447	https://nvd.nist.gov/vuln/detail/CVE-2026-56447

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-829	https://cwe.mitre.org/data/definitions/829.html

その他

No	名前	URL
関連文書
1	fix: [security] RCE via arbitrary ndjson log paths. MISP/MISP@9600d48 GitHub	https://github.com/MISP/MISP/commit/9600d486ccfc98388e13897fd954350cebac5fb0

変更履歴

No	変更内容	変更日
1	[2026年06月26日] 掲載	2026年6月26日11:52