CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-41326
https://notcve.org/view.php?id=CVE-2021-41326
17 Sep 2021 — In MISP before 2.4.148, app/Lib/Export/OpendataExport.php mishandles parameter data that is used in a shell_exec call. En MISP versiones anteriores a 2.4.148, el archivo app/Lib/Export/OpendataExport.php maneja inapropiadamente los datos de los parámetros que son usados en una llamada shell_exec • https://github.com/MISP/MISP/commit/e36f73947e741bc97320f0c42199acd1a94c7051 •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-39302
https://notcve.org/view.php?id=CVE-2021-39302
19 Aug 2021 — MISP 2.4.148, in certain configurations, allows SQL injection via the app/Model/Log.php $conditions['org'] value. MISP versión 2.4.148, en determinadas configuraciones, permite una inyección SQL por medio del valor $conditions["org"] del componente app/Model/Log.php. • https://github.com/MISP/MISP/commit/20d9020b76d1f6790c4d84e020d0cc97c929f66b • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37743
https://notcve.org/view.php?id=CVE-2021-37743
30 Jul 2021 — app/View/GalaxyElements/ajax/index.ctp in MISP 2.4.147 allows Stored XSS when viewing galaxy cluster elements in JSON format. Un archivo app/View/GalaxyElements/ajax/index.ctp en MISP versión 2.4.147, permite un ataque de tipo XSS almacenado cuando se visualizan los elementos del cluster galaxy en formato JSON • https://github.com/MISP/MISP/commit/f318f7c0ddac7dfd2b1f246fd8f488d9dfc3a4bf • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37742
https://notcve.org/view.php?id=CVE-2021-37742
30 Jul 2021 — app/View/Elements/GalaxyClusters/view_relation_tree.ctp in MISP 2.4.147 allows Stored XSS when viewing galaxy cluster relationships. Un archivo app/View/Elements/GalaxyClusters/view_relation_tree.ctp en MISP versión 2.4.147, permite un ataque de tipo XSS almacenado cuando se visualizan las relaciones de los clusters galaxy • https://github.com/MISP/MISP/commit/af50add82433eb2a740c3621b99d9d14d2b1e192 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37534
https://notcve.org/view.php?id=CVE-2021-37534
26 Jul 2021 — app/View/GalaxyClusters/add.ctp in MISP 2.4.146 allows Stored XSS when forking a galaxy cluster. un archivo app/View/GalaxyClusters/add.ctp en MISP versión 2.4.146, permite un ataque de tipo XSS almacenado cuando se bifurca un cluster galaxy • https://github.com/MISP/MISP/commit/78edbbca64a1edc4390560cc106d0d418064355d • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-36212
https://notcve.org/view.php?id=CVE-2021-36212
07 Jul 2021 — app/View/SharingGroups/view.ctp in MISP before 2.4.146 allows stored XSS in the sharing groups view. Un archivo app/View/SharingGroups/view.ctp en MISP versiones anteriores a 2.4.146, permite un ataque de tipo XSS almacenado en la vista de grupos compartidos • https://github.com/MISP/MISP/commit/01521d614cb578de75a406394b4f0426f6036ba7 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-35502
https://notcve.org/view.php?id=CVE-2021-35502
25 Jun 2021 — app/View/Elements/genericElements/IndexTable/Fields/generic_field.ctp in MISP 2.4.144 does not sanitize certain data related to generic-template:index. El archivo app/View/Elements/genericElements/IndexTable/Fields/generic_field.ctp en MISP versión 2.4.144, no sanea determinados datos relacionados con generic-template:index • https://github.com/MISP/MISP/commit/2fde6476dc3173affc61874ba2adb35400a8fda5 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-31780
https://notcve.org/view.php?id=CVE-2021-31780
23 Apr 2021 — In app/Model/MispObject.php in MISP 2.4.141, an incorrect sharing group association could lead to information disclosure on an event edit. When an object has a sharing group associated with an event edit, the sharing group object is ignored and instead the passed local ID is reused. En el archivo app/Model/MispObject.php en MISP versión 2.4.141, una asociación de grupo de intercambio incorrecta podría conllevar a la divulgación de información en una edición de evento. Cuando un objeto presenta un grupo... • https://github.com/MISP/MISP/commit/a0f08501d2850025892e703f40fb1570c7995478 • CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-27904
https://notcve.org/view.php?id=CVE-2021-27904
02 Mar 2021 — An issue was discovered in app/Model/SharingGroupServer.php in MISP 2.4.139. In the implementation of Sharing Groups, the "all org" flag sometimes provided view access to unintended actors. Se detectó un problema en el archivo app/Model/SharingGroupServer.php en MISP versión 2.4.139. En la implementación de Sharing Groups, el flag "all org" algunas veces proporcionaba acceso de visualización a actores no deseados • https://github.com/MISP/MISP/commit/ca13fee271ad126832c88896776f3050a6c06e64 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-24085
https://notcve.org/view.php?id=CVE-2020-24085
20 Jan 2021 — A cross-site scripting (XSS) vulnerability exists in MISP v2.4.128 in app/Controller/UserSettingsController.php at SetHomePage() function. Due to a lack of controller validation in "path" parameter, an attacker can execute malicious JavaScript code. Se presenta una vulnerabilidad de tipo cross site scripting (XSS) en MISP v2.4.128 en el archivo app/Controller/UserSettingsController.php en la función SetHomePage(). Debido a la falta de comprobación del controlador en el parámetro "path", un atacante pue... • https://github.com/MISP/MISP/commit/b3550b48f30ad9fef86c5b5c664487aaf6f52787 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •