Katalog CVE

CVE-2026-44381

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

W MISP, przed wersją 2.5.37, występowała podatność na wstrzykiwanie SQL w obsłudze parametrów sortowania kontrolowanych przez użytkownika w punktach końcowych listowania zdarzeń i atrybutów. Atakujący mógł wykorzystać złośliwy parametr sortowania do manipulacji generowanym zapytaniem SQL.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do danych, modyfikacji zachowania zapytań lub innych skutków na poziomie bazy danych, w zależności od uprawnień bazy danych i kontekstu zapytania.

Rekomendacja

Zaleca się aktualizację MISP do wersji 2.5.37 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

MISP is an open source threat intelligence and sharing platform. Prior to 2.5.37, a SQL injection vulnerability existed in the handling of user-controlled ordering parameters in the event and shadow attribute listing endpoints. The affected code accepted order or sort values from request parameters and incorporated them into database query ordering clauses without sufficient validation of the requested field name. An attacker with access to the affected endpoints could craft a malicious ordering parameter to manipulate the generated SQL query. Depending on database permissions and query context, this could potentially allow unauthorized access to data, modification of query behavior, or other database-level impact. This vulnerability is fixed in 2.5.37.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS