MISPコアには複数のアクセス制御の不具合があり、認可チェックが誤ったエンティティに対して実行されることや、書き込み経路で所有権および編集権のチェックが欠如していました。影響を受けるサブシステムでは、関連する機能権限を持つ権限の低い認証済みユーザーが、あるオブジェクトの認可を受けていながら別のオブジェクトを変更したり、ユーザーの組織が閲覧可能だが編集権限のないオブジェクトを変更することが可能でした。影響を受けるパスは以下の通りです。 * イベントレポートのタグ削除：ルート認可されたレポートとタグ解除に使用されるレポートIDが異なり、別組織の他のイベントレポートからタグを削除できました。 * コレクション要素の一括削除：一括削除がコレクション要素の行IDと一致するコレクションIDに対して認可されており、要素の親コレクションのIDではなかったため、ユーザーが所有していないコレクションから要素を削除できます。 * アナリストデータの取得・更新：入れ子になったアナリストデータの更新がcanEditAnalystDataの所有権チェックを適用せずに既存レコードを上書きでき、組織間でアナリストデータレコードを上書き可能でした。 * テンプレート要素の編集：テンプレート要素のIDと一致するテンプレートに対して編集が認可されていましたが、実際の親テンプレートではなかったため、別組織のテンプレート要素を不正に編集できました。 * 減衰モデルの編集およびマッピング：書き込み経路がビュー・スコープのアクセスを使ってモデルを読み込んでいたものの編集所有権を確認せず、別組織が所有する表示可能なモデルを編集または再マッピングできました。 これらの不具合を悪用すると、特定サブシステムの権限を持つ認証済みユーザーがMISPデータの組織間で不正な変更や削除を行い、整合性を喪失させ、共有インテリジェンスの不正改ざんやアナリストのワークフロー混乱を引き起こす可能性があります。

リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。