CVE-2026-54362
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Błąd w warunkach widoczności w narzędziu do tworzenia szablonów zdarzeń MISP pozwolił uwierzytelnionym użytkownikom, którzy nie są administratorami, na przeglądanie galaktyk, które nie powinny być widoczne dla ich organizacji. Użycie wyrażenia porównania PHP zamiast warunku zapytania spowodowało, że galaktyki, w tym te przeznaczone tylko dla organizacji, mogły być ujawnione.
Ocena ryzyka
Organizacje mogą być narażone na ujawnienie metadanych dotyczących prywatnych definicji galaktyk, co może prowadzić do nieautoryzowanego dostępu do wrażliwych informacji.
Rekomendacja
Zaleca się przegląd i poprawę warunków dostępu w narzędziu do tworzenia szablonów, aby zapewnić, że tylko uprawnieni użytkownicy mają dostęp do odpowiednich galaktyk.
Oryginalny opis (angielski, źródło NVD)
An incorrect visibility condition in the MISP event template builder allowed authenticated non-site-admin users to view galaxies that should not have been visible to their organisation. The custom access-control condition intended to restrict galaxies to those owned by the user’s organisation or distributed beyond it used a PHP comparison expression instead of a query condition. As a result, enabled galaxies, including organisation-only custom galaxies belonging to other organisations, could be exposed in the template builder galaxy list. This could disclose metadata about private galaxy definitions to unauthorised users.

