| タイトル | MISPにおけるSQL インジェクションの脆弱性 |
|---|---|
| 概要 | MISPはオープンソースの脅威インテリジェンスおよび共有プラットフォームです。2.5.37以前のバージョンには、イベントおよびシャドウ属性リストのエンドポイントでユーザー制御の並び順パラメータを処理する際にSQLインジェクションの脆弱性が存在していました。影響を受けるコードはリクエストパラメータからorderまたはsortの値を取得し、それらを要求されたフィールド名について十分な検証を行わずにデータベースクエリの並び順句に組み込んでいました。攻撃者は影響を受けるエンドポイントにアクセスすることで、悪意のある並び順パラメータを作成し、生成されるSQLクエリを操作することが可能でした。データベースの権限やクエリのコンテキストによっては、無許可のデータアクセス、クエリの挙動変更、その他のデータベースレベルの影響を引き起こす恐れがありました。この脆弱性は2.5.37で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月13日0:00 |
| 登録日 | 2026年5月18日11:25 |
| 最終更新日 | 2026年5月18日11:25 |
| CVSS3.0 : 警告 | |
| スコア | 5.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| MISP |
| MISP 2.5.37 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月18日] 掲載 |
2026年5月18日11:25 |
| 概要 | MISP is an open source threat intelligence and sharing platform. Prior to 2.5.37, a SQL injection vulnerability existed in the handling of user-controlled ordering parameters in the event and shadow attribute listing endpoints. The affected code accepted order or sort values from request parameters and incorporated them into database query ordering clauses without sufficient validation of the requested field name. An attacker with access to the affected endpoints could craft a malicious ordering parameter to manipulate the generated SQL query. Depending on database permissions and query context, this could potentially allow unauthorized access to data, modification of query behavior, or other database-level impact. This vulnerability is fixed in 2.5.37. |
|---|---|
| 公表日 | 2026年5月14日6:16 |
| 登録日 | 2026年5月15日4:23 |
| 最終更新日 | 2026年5月16日2:37 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:misp:misp:*:*:*:*:*:*:*:* | 2.5.37 | ||||