CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27246
https://notcve.org/view.php?id=CVE-2022-27246
18 Mar 2022 — An issue was discovered in MISP before 2.4.156. An SVG org logo (which may contain JavaScript) is not forbidden by default. Se ha detectado un problema en MISP versiones anteriores a 2.4.156. Un logotipo SVG org (que puede contener JavaScript) no está prohibido por defecto • https://github.com/MISP/MISP/commit/08a07a38ae81f3b55d81cfcd4501ac1eb1c9c4dc • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-41326
https://notcve.org/view.php?id=CVE-2021-41326
17 Sep 2021 — In MISP before 2.4.148, app/Lib/Export/OpendataExport.php mishandles parameter data that is used in a shell_exec call. En MISP versiones anteriores a 2.4.148, el archivo app/Lib/Export/OpendataExport.php maneja inapropiadamente los datos de los parámetros que son usados en una llamada shell_exec • https://github.com/MISP/MISP/commit/e36f73947e741bc97320f0c42199acd1a94c7051 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-36212
https://notcve.org/view.php?id=CVE-2021-36212
07 Jul 2021 — app/View/SharingGroups/view.ctp in MISP before 2.4.146 allows stored XSS in the sharing groups view. Un archivo app/View/SharingGroups/view.ctp en MISP versiones anteriores a 2.4.146, permite un ataque de tipo XSS almacenado en la vista de grupos compartidos • https://github.com/MISP/MISP/commit/01521d614cb578de75a406394b4f0426f6036ba7 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-27904
https://notcve.org/view.php?id=CVE-2021-27904
02 Mar 2021 — An issue was discovered in app/Model/SharingGroupServer.php in MISP 2.4.139. In the implementation of Sharing Groups, the "all org" flag sometimes provided view access to unintended actors. Se detectó un problema en el archivo app/Model/SharingGroupServer.php en MISP versión 2.4.139. En la implementación de Sharing Groups, el flag "all org" algunas veces proporcionaba acceso de visualización a actores no deseados • https://github.com/MISP/MISP/commit/ca13fee271ad126832c88896776f3050a6c06e64 •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-29006
https://notcve.org/view.php?id=CVE-2020-29006
24 Nov 2020 — MISP before 2.4.135 lacks an ACL check, related to app/Controller/GalaxyElementsController.php and app/Model/GalaxyElement.php. MISP versiones anteriores a 2.4.135, carece de una comprobación de la ACL, relacionada con los archivos app/Controller/GalaxyElementsController.php y app/ Model/GalaxyElement.php • https://github.com/MISP/MISP/commit/423750573d07f1a463f115ef37182c1825080da4 • CWE-862: Missing Authorization •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-28043
https://notcve.org/view.php?id=CVE-2020-28043
01 Nov 2020 — MISP through 2.4.133 allows SSRF in the REST client via the use_full_path parameter with an arbitrary URL. MISP versiones hasta 2.4.133, permite un ataque de tipo SSRF en el cliente REST por medio del parámetro use_full_path con una URL arbitraria • https://github.com/MISP/MISP/commit/6e81c8ee8ad19576c055b5c4773f914b918f32be • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-25766
https://notcve.org/view.php?id=CVE-2020-25766
18 Sep 2020 — An issue was discovered in MISP before 2.4.132. It can perform an unwanted action because of a POST operation on a form that is not linked to the login page. Se detectó un problema en MISP versiones anteriores a 2.4.132. Puede llevar a cabo una acción no deseada debido a una operación POST en un formulario que no está vinculado a la página de inicio de sesión • https://github.com/MISP/MISP/commit/164963100a830234744a6004d5eda55d24e97b2a •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15711
https://notcve.org/view.php?id=CVE-2020-15711
14 Jul 2020 — In MISP before 2.4.129, setting a favourite homepage was not CSRF protected. En MISP versiones anteriores a 2.4.129, se establece una página de inicio favorita que no fue protegida de CSRF • https://github.com/MISP/MISP/commit/bf4610c947c7dc372c4078f363d2dff6ae0703a8 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14969
https://notcve.org/view.php?id=CVE-2020-14969
22 Jun 2020 — app/Model/Attribute.php in MISP 2.4.127 lacks an ACL lookup on attribute correlations. This occurs when querying the attribute restsearch API, revealing metadata about a correlating but unreachable attribute. el archivo app/Model/Attribute.php en MISP versión 2.4.127, carece de una búsqueda de la ACL en las correlaciones de atributos. Esto ocurre cuando se consulta la API restsearch de atributo, revelando metadatos sobre un atributo correlativo pero inalcanzable • https://github.com/MISP/MISP/commit/609bfbd450c933d21c50c9f0161d633c43413eb6 • CWE-862: Missing Authorization •