| タイトル | MISPにおける情報漏えいに関する脆弱性 |
|---|---|
| 概要 | イベントテンプレート作成ワークフローにおける可視性制御の問題により、非サイト管理者ユーザーが他の組織に属するプライベートギャラクシーにアクセスできる状態となっていました。イベントテンプレートビルダーは、組織または配信ベースのアクセス制限を適用せずにすべての有効なギャラクシーを読み込んでおり、ギャラクシーの種類や説明などのプライベートなギャラクシーメタデータが、可視化権限のないユーザーに漏洩する可能性がありました。問題は、非サイト管理者ユーザーのギャラクシークエリを、そのユーザーの組織が所有するギャラクシーまたは非プライベート配信設定のギャラクシーに制限することで修正されました。サイト管理者は引き続きすべての有効なギャラクシーの可視性を保持しています。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| 対策 | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月4日0:00 |
| 登録日 | 2026年6月8日12:27 |
| 最終更新日 | 2026年6月8日12:27 |
| CVSS3.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| MISP |
| MISP 2.5.39 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月08日] 掲載 |
2026年6月8日12:27 |
| 概要 | A visibility control issue in the event template creation workflow allowed non-site-admin users to access private galaxies belonging to other organisations. The event template builder loaded all enabled galaxies without applying organisation or distribution-based access restrictions, potentially exposing private galaxy metadata such as galaxy type and description to users who should not have visibility. The issue has been fixed by restricting galaxy queries for non-site-admin users to galaxies owned by the user’s organisation or galaxies with a non-private distribution setting. Site administrators retain visibility of all enabled galaxies. |
|---|---|
| 公表日 | 2026年6月4日23:16 |
| 登録日 | 2026年6月5日4:10 |
| 最終更新日 | 2026年6月6日4:51 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:misp:misp:*:*:*:*:*:*:*:* | 2.5.39 | ||||