CVE-2026-56446
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
MISP umożliwia administratorowi serwisu skonfigurowanie dowolnej ścieżki systemu plików dla logu błędów NDJSON używanego przez JsonLogTool. Z powodu możliwości wstrzyknięcia kodu PHP przez atakującego, który ma uprawnienia administratora, może dojść do zdalnego wykonania kodu.
Ocena ryzyka
Atakujący z uprawnieniami administratora może skierować logi do pliku PHP w katalogu dostępnym przez sieć, co prowadzi do poważnego ryzyka zdalnego wykonania kodu z uprawnieniami procesu serwera WWW.
Rekomendacja
Zaleca się aktualizację MISP do najnowszej wersji, aby zastosować poprawki ograniczające miejsca docelowe logów oraz wprowadzenie dodatkowych zabezpieczeń w konfiguracji serwera.
Oryginalny opis (angielski, źródło NVD)
MISP allowed a site administrator to configure an arbitrary filesystem path for the NDJSON error log used by JsonLogTool. Because log entries can include attacker-controlled content, an authenticated attacker with site administrator privileges could direct log output to a PHP file in a web-accessible directory and inject PHP code through logged data. Accessing the resulting file could lead to remote code execution with the privileges of the web server process. The fix restricts log destinations to existing directories beneath APP/tmp/logs or /var/log, requires absolute paths, rejects stream wrappers and traversal-related input, and limits filenames to .log or .ndjson extensions while disallowing executable extension segments.

