CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15412
https://notcve.org/view.php?id=CVE-2020-15412
30 Jun 2020 — An issue was discovered in MISP 2.4.128. app/Controller/EventsController.php lacks an event ACL check before proceeding to allow a user to send an event contact form. Se detectó un problema en MISP versión 2.4.128. El archivo app/Controller/EventsController.php carece de una comprobación de la ACL del evento antes de proceder a permitir a un usuario enviar un formulario de contacto de evento • https://github.com/MISP/MISP/commit/b0be3b07fee2ab9bf1869ef81a7f24f58bd687ef • CWE-862: Missing Authorization •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15411
https://notcve.org/view.php?id=CVE-2020-15411
30 Jun 2020 — An issue was discovered in MISP 2.4.128. app/Controller/AttributesController.php has insufficient ACL checks in the attachment downloader. Se detectó un problema en MISP versión 2.4.128. El archivo app/Controller/AttributesController.php no presenta suficientes comprobaciones de la ACL en el descargador de archivos adjuntos • https://github.com/MISP/MISP/commit/d14ce7de709cdde3ecc9433e38e14c682894e88a •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14969
https://notcve.org/view.php?id=CVE-2020-14969
22 Jun 2020 — app/Model/Attribute.php in MISP 2.4.127 lacks an ACL lookup on attribute correlations. This occurs when querying the attribute restsearch API, revealing metadata about a correlating but unreachable attribute. el archivo app/Model/Attribute.php en MISP versión 2.4.127, carece de una búsqueda de la ACL en las correlaciones de atributos. Esto ocurre cuando se consulta la API restsearch de atributo, revelando metadatos sobre un atributo correlativo pero inalcanzable • https://github.com/MISP/MISP/commit/609bfbd450c933d21c50c9f0161d633c43413eb6 • CWE-862: Missing Authorization •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-13153
https://notcve.org/view.php?id=CVE-2020-13153
18 May 2020 — app/View/Events/resolved_attributes.ctp in MISP before 2.4.126 has XSS in the resolved attributes view. El archivo app/View/Events/resolved_attributes.ctp en MISP versiones anteriores a 2.4.126, presenta una vulnerabilidad de tipo XSS en la vista de atributos resueltos. • https://github.com/MISP/MISP/commit/2989aa05225aa9b3a592ca50cbf8350ef256909c • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 1CVE-2020-11458
https://notcve.org/view.php?id=CVE-2020-11458
02 Apr 2020 — app/Model/feed.php in MISP before 2.4.124 allows administrators to choose arbitrary files that should be ingested by MISP. This does not cause a leak of the full contents of a file, but does cause a leaks of strings that match certain patterns. Among the data that can leak are passwords from database.php or GPG key passphrases from config.php. El archivo app/Model/feed.php en MISP versiones anteriores a 2.4.124, permite a administradores elegir archivos arbitrarios que deberían ser consumidos por MISP. Esto... • https://github.com/MISP/MISP/commit/30ff4b6451549dae7b526d4fb3a49061311ed477 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-10246
https://notcve.org/view.php?id=CVE-2020-10246
09 Mar 2020 — MISP 2.4.122 has reflected XSS via unsanitized URL parameters. This is related to app/View/Users/statistics_orgs.ctp. MISP versión 2.4.122, presenta una vulnerabilidad de tipo XSS reflejado por medio de parámetros URL no saneados. Esto está relacionado con el archivo app/View/Users/statistics_orgs.ctp. • https://github.com/MISP/MISP/commit/43a0757fb33769d9ad4ca09e8f2ac572f9f6a491 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-10247
https://notcve.org/view.php?id=CVE-2020-10247
09 Mar 2020 — MISP 2.4.122 has Persistent XSS in the sighting popover tool. This is related to app/View/Elements/Events/View/sighting_field.ctp. MISP versión 2.4.122, presenta una vulnerabilidad de tipo XSS Persistente en la herramienta popover de observación. Esto está relacionado con el archivo app/View/Elements/Events/View/sighting_field.ctp. • https://github.com/MISP/MISP/commit/e24a9eb44c1306adb02c1508e8f266ac6b95b4ed • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8890
https://notcve.org/view.php?id=CVE-2020-8890
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. It mishandled time skew (between the machine hosting the web server and the machine hosting the database) when trying to block a brute-force series of invalid requests. Se detectó un problema en MISP versiones anteriores a 2.4.121. Manejó inapropiadamente la distorsión del tiempo (entre la máquina que aloja el servidor web y la máquina que aloja la base de datos) cuando intenta bloquear una serie de peticiones inválidas de fuerza bruta. • https://github.com/MISP/MISP/commit/934c82819237b4edf1da64587b72a87bec5dd520 • CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8891
https://notcve.org/view.php?id=CVE-2020-8891
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. It did not canonicalize usernames when trying to block a brute-force series of invalid requests. Se detectó un problema en MISP versiones anteriores a 2.4.121. No canonicalizó los nombres de usuario cuando intenta bloquear una serie de peticiones inválidas de fuerza bruta. • https://github.com/MISP/MISP/commit/934c82819237b4edf1da64587b72a87bec5dd520 •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8892
https://notcve.org/view.php?id=CVE-2020-8892
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. It did not consider the HTTP PUT method when trying to block a brute-force series of invalid requests. Se detectó un problema en MISP versiones anteriores a 2.4.121. No consideró el método HTTP PUT al intentar bloquear una serie de peticiones inválidas de fuerza bruta. • https://github.com/MISP/MISP/commit/934c82819237b4edf1da64587b72a87bec5dd520 •