MISPにおける不正な認証に関する脆弱性
| Title |
MISPにおける不正な認証に関する脆弱性
|
| Summary |
MISPのCRUDコンポーネントの削除ハンドラにおけるロジックエラーにより、HTTP DELETEメソッドを使用したリクエストで検証失敗を回避できる問題が発生しました。削除条件の括弧が欠落していたため、式は($validationError === null && POST) || DELETEとして評価され、削除検証コールバックが操作を拒否した場合でもDELETEリクエストが進行可能でした。認証された攻撃者が影響を受ける削除エンドポイントにアクセスできる場合、この脆弱性を悪用して、本来アプリケーションレベルの検証または認可チェックによって保護されるべきレコードを削除することが可能です。
|
| Possible impacts |
・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 4, 2026, midnight |
| Registration Date |
June 9, 2026, 2:10 p.m. |
| Last Update |
June 9, 2026, 2:10 p.m. |
|
CVSS3.0 : 警告
|
| Score |
6.5
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月09日]
掲載 |
June 9, 2026, 2:10 p.m. |
NVD Vulnerability Information
CVE-2026-10860
| Summary |
A logic error in the MISP CRUD component delete handler allowed validation failures to be bypassed when requests used the HTTP DELETE method. Due to missing parentheses in the delete condition, the expression was evaluated as ($validationError === null && POST) || DELETE, meaning a DELETE request could proceed even when the delete validation callback had rejected the operation. An authenticated attacker with access to an affected delete endpoint could abuse this flaw to delete records that should have been protected by application-level validation or authorization checks.
|
| Publication Date |
June 5, 2026, 12:16 a.m. |
| Registration Date |
June 5, 2026, 4:10 a.m. |
| Last Update |
June 8, 2026, 10:54 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:misp:misp:*:*:*:*:*:*:*:* |
|
|
|
2.5.39 |
Related information, measures and tools
Common Vulnerabilities List