CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27246
https://notcve.org/view.php?id=CVE-2022-27246
18 Mar 2022 — An issue was discovered in MISP before 2.4.156. An SVG org logo (which may contain JavaScript) is not forbidden by default. Se ha detectado un problema en MISP versiones anteriores a 2.4.156. Un logotipo SVG org (que puede contener JavaScript) no está prohibido por defecto • https://github.com/MISP/MISP/commit/08a07a38ae81f3b55d81cfcd4501ac1eb1c9c4dc • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-41326
https://notcve.org/view.php?id=CVE-2021-41326
17 Sep 2021 — In MISP before 2.4.148, app/Lib/Export/OpendataExport.php mishandles parameter data that is used in a shell_exec call. En MISP versiones anteriores a 2.4.148, el archivo app/Lib/Export/OpendataExport.php maneja inapropiadamente los datos de los parámetros que son usados en una llamada shell_exec • https://github.com/MISP/MISP/commit/e36f73947e741bc97320f0c42199acd1a94c7051 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-36212
https://notcve.org/view.php?id=CVE-2021-36212
07 Jul 2021 — app/View/SharingGroups/view.ctp in MISP before 2.4.146 allows stored XSS in the sharing groups view. Un archivo app/View/SharingGroups/view.ctp en MISP versiones anteriores a 2.4.146, permite un ataque de tipo XSS almacenado en la vista de grupos compartidos • https://github.com/MISP/MISP/commit/01521d614cb578de75a406394b4f0426f6036ba7 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-27904
https://notcve.org/view.php?id=CVE-2021-27904
02 Mar 2021 — An issue was discovered in app/Model/SharingGroupServer.php in MISP 2.4.139. In the implementation of Sharing Groups, the "all org" flag sometimes provided view access to unintended actors. Se detectó un problema en el archivo app/Model/SharingGroupServer.php en MISP versión 2.4.139. En la implementación de Sharing Groups, el flag "all org" algunas veces proporcionaba acceso de visualización a actores no deseados • https://github.com/MISP/MISP/commit/ca13fee271ad126832c88896776f3050a6c06e64 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-24085
https://notcve.org/view.php?id=CVE-2020-24085
20 Jan 2021 — A cross-site scripting (XSS) vulnerability exists in MISP v2.4.128 in app/Controller/UserSettingsController.php at SetHomePage() function. Due to a lack of controller validation in "path" parameter, an attacker can execute malicious JavaScript code. Se presenta una vulnerabilidad de tipo cross site scripting (XSS) en MISP v2.4.128 en el archivo app/Controller/UserSettingsController.php en la función SetHomePage(). Debido a la falta de comprobación del controlador en el parámetro "path", un atacante pue... • https://github.com/MISP/MISP/commit/b3550b48f30ad9fef86c5b5c664487aaf6f52787 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-29006
https://notcve.org/view.php?id=CVE-2020-29006
24 Nov 2020 — MISP before 2.4.135 lacks an ACL check, related to app/Controller/GalaxyElementsController.php and app/Model/GalaxyElement.php. MISP versiones anteriores a 2.4.135, carece de una comprobación de la ACL, relacionada con los archivos app/Controller/GalaxyElementsController.php y app/ Model/GalaxyElement.php • https://github.com/MISP/MISP/commit/423750573d07f1a463f115ef37182c1825080da4 • CWE-862: Missing Authorization •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-28043
https://notcve.org/view.php?id=CVE-2020-28043
01 Nov 2020 — MISP through 2.4.133 allows SSRF in the REST client via the use_full_path parameter with an arbitrary URL. MISP versiones hasta 2.4.133, permite un ataque de tipo SSRF en el cliente REST por medio del parámetro use_full_path con una URL arbitraria • https://github.com/MISP/MISP/commit/6e81c8ee8ad19576c055b5c4773f914b918f32be • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-25766
https://notcve.org/view.php?id=CVE-2020-25766
18 Sep 2020 — An issue was discovered in MISP before 2.4.132. It can perform an unwanted action because of a POST operation on a form that is not linked to the login page. Se detectó un problema en MISP versiones anteriores a 2.4.132. Puede llevar a cabo una acción no deseada debido a una operación POST en un formulario que no está vinculado a la página de inicio de sesión • https://github.com/MISP/MISP/commit/164963100a830234744a6004d5eda55d24e97b2a •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15711
https://notcve.org/view.php?id=CVE-2020-15711
14 Jul 2020 — In MISP before 2.4.129, setting a favourite homepage was not CSRF protected. En MISP versiones anteriores a 2.4.129, se establece una página de inicio favorita que no fue protegida de CSRF • https://github.com/MISP/MISP/commit/bf4610c947c7dc372c4078f363d2dff6ae0703a8 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15412
https://notcve.org/view.php?id=CVE-2020-15412
30 Jun 2020 — An issue was discovered in MISP 2.4.128. app/Controller/EventsController.php lacks an event ACL check before proceeding to allow a user to send an event contact form. Se detectó un problema en MISP versión 2.4.128. El archivo app/Controller/EventsController.php carece de una comprobación de la ACL del evento antes de proceder a permitir a un usuario enviar un formulario de contacto de evento • https://github.com/MISP/MISP/commit/b0be3b07fee2ab9bf1869ef81a7f24f58bd687ef • CWE-862: Missing Authorization •