CVSS: 6.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-47928
https://notcve.org/view.php?id=CVE-2022-47928
22 Dec 2022 — In MISP before 2.4.167, there is XSS in the template file uploads in app/View/Templates/upload_file.ctp. En MISP anterior a 2.4.167, hay XSS en las cargas de archivos de plantilla en app/View/Templates/upload_file.ctp. • https://github.com/MISP/MISP/commit/684d3e51398d4ea032b06fa4a1cd2bdf7d8b0ede • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-42724
https://notcve.org/view.php?id=CVE-2022-42724
10 Oct 2022 — app/Controller/UsersController.php in MISP before 2.4.164 allows attackers to discover role names (this is information that only the site admin should have). El archivo app/Controller/UsersController.php en MISP versiones anteriores a 2.4.164, permite a atacantes detectar los nombres de los roles (esta es una información que sólo el administrador del sitio debería tener) • https://github.com/MISP/MISP/commit/934b9cd4fc6d6378ad349ea630ad9f1319ac82f5 • CWE-863: Incorrect Authorization •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-29528
https://notcve.org/view.php?id=CVE-2022-29528
20 Apr 2022 — An issue was discovered in MISP before 2.4.158. PHAR deserialization can occur. Se ha detectado un problema en MISP versiones anteriores a 2.4.158. Puede producirse una deserialización de PHAR • https://github.com/MISP/MISP/commit/0108f1bde2117ac5c1e28d124128f60c8bb09a8e • CWE-502: Deserialization of Untrusted Data •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-29529
https://notcve.org/view.php?id=CVE-2022-29529
20 Apr 2022 — An issue was discovered in MISP before 2.4.158. There is stored XSS via the LinOTP login field. Se ha detectado un problema en MISP versiones anteriores a 2.4.158. Se presenta una vulnerabilidad de tipo XSS almacenado por medio del campo de inicio de sesión de LinOTP • https://github.com/MISP/MISP/commit/9623de2f5cca011afc581d55cfa5ce87682894fd • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-29530
https://notcve.org/view.php?id=CVE-2022-29530
20 Apr 2022 — An issue was discovered in MISP before 2.4.158. There is stored XSS in the galaxy clusters. Se ha detectado un problema en MISP versiones anteriores a 2.4.158. Se presenta una vulnerabilidad de tipo XSS almacenado en los clusters de galaxias • https://github.com/MISP/MISP/commit/107e271d78c255d658ce998285fe6f6c4f291b41 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-29531
https://notcve.org/view.php?id=CVE-2022-29531
20 Apr 2022 — An issue was discovered in MISP before 2.4.158. There is stored XSS in the event graph via a tag name. Se ha detectado un problema en MISP versiones anteriores a 2.4.158. Se presenta una vulnerabilidad de tipo XSS almacenado en el gráfico de eventos por medio de un nombre de etiqueta • https://github.com/MISP/MISP/commit/bb3b7a7e91862742cae228c43b3091bad476dcc0 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-29532
https://notcve.org/view.php?id=CVE-2022-29532
20 Apr 2022 — An issue was discovered in MISP before 2.4.158. There is XSS in the cerebrate view if one administrator puts a javascript: URL in the URL field, and another administrator clicks on it. Se ha detectado un problema en MISP versiones anteriores a 2.4.158. Se presenta una vulnerabilidad de tipo XSS en la visualización cerebrada si un administrador pone un javascript: URL en el campo URL, y otro administrador hace clic en él • https://github.com/MISP/MISP/commit/60c85b80e3ab05c3ef015bca5630e95eddbb1436 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-29533
https://notcve.org/view.php?id=CVE-2022-29533
20 Apr 2022 — An issue was discovered in MISP before 2.4.158. There is XSS in app/Controller/OrganisationsController.php in a situation with a "weird single checkbox page." Se ha detectado un problema en MISP versiones anteriores a 2.4.158. Se presenta una vulnerabilidad de tipo XSS en el componente app/Controller/OrganisationsController.php en una situación con un "weird single checkbox page." • https://github.com/MISP/MISP/commit/ce6bc88e330f5ef50666b149d86c0d94f545f24e • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2022-29534
https://notcve.org/view.php?id=CVE-2022-29534
20 Apr 2022 — An issue was discovered in MISP before 2.4.158. In UsersController.php, password confirmation can be bypassed via vectors involving an "Accept: application/json" header. Se ha detectado un problema en MISP versiones anteriores a 2.4.158. En el archivo UsersController.php, la confirmación de la contraseña puede omitirse por medio de vectores que implican un encabezado "Accept: application/json" • https://github.com/MISP/MISP/commit/01120163a6b4d905029d416e7305575df31df8af • CWE-287: Improper Authentication •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27243
https://notcve.org/view.php?id=CVE-2022-27243
18 Mar 2022 — An issue was discovered in MISP before 2.4.156. app/View/Users/terms.ctp allows Local File Inclusion via the custom terms file setting. Se ha detectado un problema en MISP versiones anteriores a 2.4.156. El archivo app/View/Users/terms.ctp permite una inclusión de archivos locales por medio de la configuración del archivo de términos personalizados • https://github.com/MISP/MISP/commit/8cc93687dcd68e1774b55a5c4e8125c0c8ddc288 •