MISPは、サイト管理者がJsonLogToolで使用されるNDJSONエラーログの任意のファイルシステムパスを設定できるようにしていました。ログエントリには攻撃者が制御する内容が含まれる可能性があるため、認証されたサイト管理者権限を持つ攻撃者は、ログ出力をWebアクセス可能なディレクトリ内のPHPファイルに向けてログデータを通じてPHPコードを注入できました。生成されたファイルにアクセスすると、Webサーバープロセスの権限でリモートコード実行が発生する可能性があります。修正によって、ログの出力先はAPP/tmp/logsまたは/var/log以下の既存ディレクトリに制限され、絶対パスが必須となりました。また、ストリームラッパーおよびトラバーサルに関連する入力が拒否され、ファイル名は.logまたは.ndjson拡張子に限定され、実行可能な拡張子のセグメントは許可されなくなりました。

リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。