製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

MISPにおける入力確認に関する脆弱性

タイトル	MISPにおける入力確認に関する脆弱性
概要	関連性の過剰関連エンドポイントにおいて、orderクエリパラメータがユーザー制御の名前付きリクエストパラメータから受け入れられていたというセキュリティ問題が修正されました。これにより認証済みユーザーがサーバー定義の過剰相関値の順序を上書きできていました。基盤となるデータアクセス層で値がどのように処理されるかによっては、データベースクエリの順序操作が可能になり、アプリケーションが安全でないクエリ構築にさらされる可能性がありました。パッチでは、orderをリクエスト制御パラメータのセットから削除し、代わりに許可されたユーザーパラメータを処理した後に順序をサーバー側で発生回数の降順（occurrence desc）に設定しています。影響を受けるコンポーネントはapp/Controller/CorrelationsController.phpのoverCorrelations()メソッドです。セキュリティへの影響として、認証された攻撃者が過剰関連クエリに使用される順序指定句に影響を与える可能性があります。直接的な影響はクエリの操作に限定されるように見えますが、さらに証拠が得られればSQLインジェクションや操作された順序指定式を通じた不正なデータ露出の可能性があると考えられます。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年6月4日0:00
登録日	2026年6月9日14:10
最終更新日	2026年6月9日14:10

CVSS3.0 : 重要
スコア	8.1
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

影響を受けるシステム

MISP

MISP 2.5.39 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-10863	https://www.cve.org/CVERecord?id=CVE-2026-10863
National Vulnerability Database (NVD)
2	CVE-2026-10863	https://nvd.nist.gov/vuln/detail/CVE-2026-10863

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

その他

No	名前	URL
関連文書
1	fix: [security] order field MISP/MISP@aa094a3 GitHub	https://github.com/MISP/MISP/commit/aa094a335ba2855f8a42a1dc44398f43560fe247

変更履歴

No	変更内容	変更日
1	[2026年06月09日] 掲載	2026年6月9日14:10

NVD脆弱性情報

CVE-2026-10863

概要	A security issue was fixed in the correlations over-correlation endpoint where the order query parameter was accepted from user-controlled named request parameters. This allowed an authenticated user to override the server-defined ordering of over-correlating values. Depending on how the value was processed by the underlying data access layer, this could allow manipulation of database query ordering and potentially expose the application to unsafe query construction. The patch removes order from the set of request-controlled parameters and instead sets the ordering server-side to occurrence desc after processing allowed user parameters. Affected component: app/Controller/CorrelationsController.php, overCorrelations() Security impact: An authenticated attacker could influence the ordering clause used by the over-correlations query. The direct impact appears limited to query manipulation unless further evidence confirms SQL injection or unauthorized data exposure through the manipulated ordering expression.
公表日	2026年6月5日0:16
登録日	2026年6月5日4:10
最終更新日	2026年6月8日22:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:misp:misp::::::::					2.5.39

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/MISP/MISP/commit/aa094a335ba2855f8a42a1dc44398f43560fe247	5a6e4751-2f3f-4070-9419-94fb35b644e8

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html