CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27244
https://notcve.org/view.php?id=CVE-2022-27244
18 Mar 2022 — An issue was discovered in MISP before 2.4.156. A malicious site administrator could store an XSS payload in the custom auth name. This would be executed each time the administrator modifies a user. Se ha detectado un problema en MISP versiones anteriores a 2.4.156. Un administrador de sitio malicioso podría almacenar una carga útil de tipo XSS en el nombre de autenticación personalizado. • https://github.com/MISP/MISP/commit/61d4d3670593b78e4dab7a11eb620b7a372f30e6 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27245
https://notcve.org/view.php?id=CVE-2022-27245
18 Mar 2022 — An issue was discovered in MISP before 2.4.156. app/Model/Server.php does not restrict generateServerSettings to the CLI. This could lead to SSRF. Se ha detectado un problema en MISP versiones anteriores a 2.4.156. El archivo app/Model/Server.php no restringe generateServerSettings a la CLI. Esto podría conllevar a una vulnerabilidad de tipo SSRF • https://github.com/MISP/MISP/commit/8dcf414340c5ddedfebbc972601646d38e1d0717 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27246
https://notcve.org/view.php?id=CVE-2022-27246
18 Mar 2022 — An issue was discovered in MISP before 2.4.156. An SVG org logo (which may contain JavaScript) is not forbidden by default. Se ha detectado un problema en MISP versiones anteriores a 2.4.156. Un logotipo SVG org (que puede contener JavaScript) no está prohibido por defecto • https://github.com/MISP/MISP/commit/08a07a38ae81f3b55d81cfcd4501ac1eb1c9c4dc • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-41326
https://notcve.org/view.php?id=CVE-2021-41326
17 Sep 2021 — In MISP before 2.4.148, app/Lib/Export/OpendataExport.php mishandles parameter data that is used in a shell_exec call. En MISP versiones anteriores a 2.4.148, el archivo app/Lib/Export/OpendataExport.php maneja inapropiadamente los datos de los parámetros que son usados en una llamada shell_exec • https://github.com/MISP/MISP/commit/e36f73947e741bc97320f0c42199acd1a94c7051 •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-39302
https://notcve.org/view.php?id=CVE-2021-39302
19 Aug 2021 — MISP 2.4.148, in certain configurations, allows SQL injection via the app/Model/Log.php $conditions['org'] value. MISP versión 2.4.148, en determinadas configuraciones, permite una inyección SQL por medio del valor $conditions["org"] del componente app/Model/Log.php. • https://github.com/MISP/MISP/commit/20d9020b76d1f6790c4d84e020d0cc97c929f66b • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37743
https://notcve.org/view.php?id=CVE-2021-37743
30 Jul 2021 — app/View/GalaxyElements/ajax/index.ctp in MISP 2.4.147 allows Stored XSS when viewing galaxy cluster elements in JSON format. Un archivo app/View/GalaxyElements/ajax/index.ctp en MISP versión 2.4.147, permite un ataque de tipo XSS almacenado cuando se visualizan los elementos del cluster galaxy en formato JSON • https://github.com/MISP/MISP/commit/f318f7c0ddac7dfd2b1f246fd8f488d9dfc3a4bf • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37742
https://notcve.org/view.php?id=CVE-2021-37742
30 Jul 2021 — app/View/Elements/GalaxyClusters/view_relation_tree.ctp in MISP 2.4.147 allows Stored XSS when viewing galaxy cluster relationships. Un archivo app/View/Elements/GalaxyClusters/view_relation_tree.ctp en MISP versión 2.4.147, permite un ataque de tipo XSS almacenado cuando se visualizan las relaciones de los clusters galaxy • https://github.com/MISP/MISP/commit/af50add82433eb2a740c3621b99d9d14d2b1e192 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37534
https://notcve.org/view.php?id=CVE-2021-37534
26 Jul 2021 — app/View/GalaxyClusters/add.ctp in MISP 2.4.146 allows Stored XSS when forking a galaxy cluster. un archivo app/View/GalaxyClusters/add.ctp en MISP versión 2.4.146, permite un ataque de tipo XSS almacenado cuando se bifurca un cluster galaxy • https://github.com/MISP/MISP/commit/78edbbca64a1edc4390560cc106d0d418064355d • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-36212
https://notcve.org/view.php?id=CVE-2021-36212
07 Jul 2021 — app/View/SharingGroups/view.ctp in MISP before 2.4.146 allows stored XSS in the sharing groups view. Un archivo app/View/SharingGroups/view.ctp en MISP versiones anteriores a 2.4.146, permite un ataque de tipo XSS almacenado en la vista de grupos compartidos • https://github.com/MISP/MISP/commit/01521d614cb578de75a406394b4f0426f6036ba7 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-35502
https://notcve.org/view.php?id=CVE-2021-35502
25 Jun 2021 — app/View/Elements/genericElements/IndexTable/Fields/generic_field.ctp in MISP 2.4.144 does not sanitize certain data related to generic-template:index. El archivo app/View/Elements/genericElements/IndexTable/Fields/generic_field.ctp en MISP versión 2.4.144, no sanea determinados datos relacionados con generic-template:index • https://github.com/MISP/MISP/commit/2fde6476dc3173affc61874ba2adb35400a8fda5 •