CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8890
https://notcve.org/view.php?id=CVE-2020-8890
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. It mishandled time skew (between the machine hosting the web server and the machine hosting the database) when trying to block a brute-force series of invalid requests. Se detectó un problema en MISP versiones anteriores a 2.4.121. Manejó inapropiadamente la distorsión del tiempo (entre la máquina que aloja el servidor web y la máquina que aloja la base de datos) cuando intenta bloquear una serie de peticiones inválidas de fuerza bruta. • https://github.com/MISP/MISP/commit/934c82819237b4edf1da64587b72a87bec5dd520 • CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8891
https://notcve.org/view.php?id=CVE-2020-8891
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. It did not canonicalize usernames when trying to block a brute-force series of invalid requests. Se detectó un problema en MISP versiones anteriores a 2.4.121. No canonicalizó los nombres de usuario cuando intenta bloquear una serie de peticiones inválidas de fuerza bruta. • https://github.com/MISP/MISP/commit/934c82819237b4edf1da64587b72a87bec5dd520 •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8892
https://notcve.org/view.php?id=CVE-2020-8892
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. It did not consider the HTTP PUT method when trying to block a brute-force series of invalid requests. Se detectó un problema en MISP versiones anteriores a 2.4.121. No consideró el método HTTP PUT al intentar bloquear una serie de peticiones inválidas de fuerza bruta. • https://github.com/MISP/MISP/commit/934c82819237b4edf1da64587b72a87bec5dd520 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8893
https://notcve.org/view.php?id=CVE-2020-8893
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. The Galaxy view contained an incorrectly sanitized search string in app/View/Galaxies/view.ctp. Se detectó un problema en MISP versiones anteriores a 2.4.121. La vista Galaxy contenía una cadena de búsqueda saneada incorrectamente en el archivo app/View/Galaxies/view.ctp. • https://github.com/MISP/MISP/commit/3d982d92fd26584115c01f8c560a688d1096b65c •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8894
https://notcve.org/view.php?id=CVE-2020-8894
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. ACLs for discussion threads were mishandled in app/Controller/ThreadsController.php and app/Model/Thread.php. Se detectó un problema en MISP versiones anteriores a 2.4.121. Las ACL para subprocesos (hilos) de discusión se manejaron inapropiadamente en los archivos app/Controller/ThreadsController.php y app/Model/Thread.php. • https://github.com/MISP/MISP/commit/9400b8bc8699435d84508e598aca98a31affd77c •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-16202
https://notcve.org/view.php?id=CVE-2019-16202
10 Sep 2019 — MISP before 2.4.115 allows privilege escalation in certain situations. After updating to 2.4.115, escalation attempts are blocked by the __checkLoggedActions function with a "This could be an indication of an attempted privilege escalation on older vulnerable versions of MISP (<2.4.115)" message. MISP versiones anteriores a 2.4.115, permite una escalada de privilegios en ciertas situaciones. Después de actualizar a la versión 2.4.115, los intentos de escalada son bloqueados por la función __checkLoggedActio... • https://excellium-services.com/cert-xlm-advisory/cve-2019-16202 • CWE-269: Improper Privilege Management •
CVSS: 7.2EPSS: 2%CPEs: 1EXPL: 0CVE-2019-12868
https://notcve.org/view.php?id=CVE-2019-12868
17 Jun 2019 — app/Model/Server.php in MISP 2.4.109 allows remote command execution by a super administrator because the PHP file_exists function is used with user-controlled entries, and phar:// URLs trigger deserialization. El archivo app/Model/Server.php en MISP versión 2.4.109 permite la ejecución de comandos remota por parte de un super administrador porque la función file_exists de PHP se utiliza con entradas controladas por el usuario, y las URL phar:// activan la deserialización. • https://github.com/MISP/MISP/commit/c42c5fe92783dd306b7600db1f6a25324445b40c • CWE-502: Deserialization of Untrusted Data •