MISPにおける情報漏えいに関する脆弱性
| Title |
MISPにおける情報漏えいに関する脆弱性
|
| Summary |
イベントテンプレート作成ワークフローにおける可視性制御の問題により、非サイト管理者ユーザーが他の組織に属するプライベートギャラクシーにアクセスできる状態となっていました。イベントテンプレートビルダーは、組織または配信ベースのアクセス制限を適用せずにすべての有効なギャラクシーを読み込んでおり、ギャラクシーの種類や説明などのプライベートなギャラクシーメタデータが、可視化権限のないユーザーに漏洩する可能性がありました。問題は、非サイト管理者ユーザーのギャラクシークエリを、そのユーザーの組織が所有するギャラクシーまたは非プライベート配信設定のギャラクシーに制限することで修正されました。サイト管理者は引き続きすべての有効なギャラクシーの可視性を保持しています。
|
| Possible impacts |
・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution |
リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 4, 2026, midnight |
| Registration Date |
June 8, 2026, 12:27 p.m. |
| Last Update |
June 8, 2026, 12:27 p.m. |
|
CVSS3.0 : 警告
|
| Score |
4.3
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月08日]
掲載 |
June 8, 2026, 12:27 p.m. |
NVD Vulnerability Information
CVE-2026-10854
| Summary |
A visibility control issue in the event template creation workflow allowed non-site-admin users to access private galaxies belonging to other organisations. The event template builder loaded all enabled galaxies without applying organisation or distribution-based access restrictions, potentially exposing private galaxy metadata such as galaxy type and description to users who should not have visibility.
The issue has been fixed by restricting galaxy queries for non-site-admin users to galaxies owned by the user’s organisation or galaxies with a non-private distribution setting. Site administrators retain visibility of all enabled galaxies.
|
| Publication Date |
June 4, 2026, 11:16 p.m. |
| Registration Date |
June 5, 2026, 4:10 a.m. |
| Last Update |
June 6, 2026, 4:51 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:misp:misp:*:*:*:*:*:*:*:* |
|
|
|
2.5.39 |
Related information, measures and tools
Common Vulnerabilities List