CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8894
https://notcve.org/view.php?id=CVE-2020-8894
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. ACLs for discussion threads were mishandled in app/Controller/ThreadsController.php and app/Model/Thread.php. Se detectó un problema en MISP versiones anteriores a 2.4.121. Las ACL para subprocesos (hilos) de discusión se manejaron inapropiadamente en los archivos app/Controller/ThreadsController.php y app/Model/Thread.php. • https://github.com/MISP/MISP/commit/9400b8bc8699435d84508e598aca98a31affd77c •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-19379
https://notcve.org/view.php?id=CVE-2019-19379
28 Nov 2019 — In app/Controller/TagsController.php in MISP 2.4.118, users can bypass intended restrictions on tagging data. En el archivo app/Controller/TagsController.php en MISP versión 2.4.118, los usuarios pueden omitir las restricciones previstas en los datos de etiquetado. • https://github.com/MISP/MISP/commit/e05dc512a437284f14624da23cca4a829a76aebf •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-16202
https://notcve.org/view.php?id=CVE-2019-16202
10 Sep 2019 — MISP before 2.4.115 allows privilege escalation in certain situations. After updating to 2.4.115, escalation attempts are blocked by the __checkLoggedActions function with a "This could be an indication of an attempted privilege escalation on older vulnerable versions of MISP (<2.4.115)" message. MISP versiones anteriores a 2.4.115, permite una escalada de privilegios en ciertas situaciones. Después de actualizar a la versión 2.4.115, los intentos de escalada son bloqueados por la función __checkLoggedActio... • https://excellium-services.com/cert-xlm-advisory/cve-2019-16202 • CWE-269: Improper Privilege Management •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-14286
https://notcve.org/view.php?id=CVE-2019-14286
27 Jul 2019 — In app/webroot/js/event-graph.js in MISP 2.4.111, a stored XSS vulnerability exists in the event-graph view when a user toggles the event graph view. A malicious MISP event must be crafted in order to trigger the vulnerability. En el archivo app/webroot/js/event-graph.js en MISP versión 2.4.111, se presenta una vulnerabilidad de tipo XSS almacenado en la visualización de gráficos de eventos cuando un usuario alterna la visualización de gráficos de eventos. Se necesita diseñar un evento MISP malicioso para d... • https://github.com/MISP/MISP/commit/26bedd8a68c32a2f14460a8eac2a9fb09923392b • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 2%CPEs: 1EXPL: 0CVE-2019-12868
https://notcve.org/view.php?id=CVE-2019-12868
17 Jun 2019 — app/Model/Server.php in MISP 2.4.109 allows remote command execution by a super administrator because the PHP file_exists function is used with user-controlled entries, and phar:// URLs trigger deserialization. El archivo app/Model/Server.php en MISP versión 2.4.109 permite la ejecución de comandos remota por parte de un super administrador porque la función file_exists de PHP se utiliza con entradas controladas por el usuario, y las URL phar:// activan la deserialización. • https://github.com/MISP/MISP/commit/c42c5fe92783dd306b7600db1f6a25324445b40c • CWE-502: Deserialization of Untrusted Data •
CVSS: 6.6EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12794
https://notcve.org/view.php?id=CVE-2019-12794
11 Jun 2019 — An issue was discovered in MISP 2.4.108. Organization admins could reset credentials for site admins (organization admins have the inherent ability to reset passwords for all of their organization's users). This, however, could be abused in a situation where the host organization of an instance creates organization admins. An organization admin could set a password manually for the site admin or simply use the API key of the site admin to impersonate them. The potential for abuse only occurs when the host o... • https://github.com/MISP/MISP/commit/36b43f1306873cff87b7aa30cdc1a30b38c9c16a • CWE-269: Improper Privilege Management •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-11814
https://notcve.org/view.php?id=CVE-2019-11814
08 May 2019 — An issue was discovered in app/webroot/js/misp.js in MISP before 2.4.107. There is persistent XSS via image names in titles, as demonstrated by a screenshot. Se descubrió un problema en app/webroot/js/misp.js en el PSIM versiones anteriores a 2.4.107. Hay XSS persistente a través de los nombres de las imágenes en los títulos, como lo demuestra una captura de pantalla. • https://github.com/MISP/MISP/commit/62f15433e42fb92e45bd57dd6fc0c0bf53deb6fc • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-11813
https://notcve.org/view.php?id=CVE-2019-11813
08 May 2019 — An issue was discovered in app/View/Elements/Events/View/value_field.ctp in MISP before 2.4.107. There is persistent XSS via link type attributes with javascript:// links. Fue encontrado un problema en el archivo app/View/Elements/Events/View/value_field.ctp en MISP anterior a la versión 2.4.107. Se presenta un XSS persistente por medio de los atributos tipo Link con enlances javascript://. • https://github.com/MISP/MISP/commit/6f6fb678ca07c80cb7d2bdfe5cb0313bb71bd487 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-11812
https://notcve.org/view.php?id=CVE-2019-11812
08 May 2019 — A persistent XSS issue was discovered in app/View/Helper/CommandHelper.php in MISP before 2.4.107. JavaScript can be included in the discussion interface, and can be triggered by clicking on the link. Un problema XSS persistente se descubrió en el archivo app/View/Helper/CommandHelper.php en MISP anterior a la versión 2.4.107 un JavaScript puede ser insertado en la interfaz discussion y puede ser activado haciendo clic sobre el enlace. • https://github.com/MISP/MISP/commit/3a085a6ceea00b3ab674a984dd56c1846ef775ff • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10254
https://notcve.org/view.php?id=CVE-2019-10254
28 Mar 2019 — In MISP before 2.4.105, the app/View/Layouts/default.ctp default layout template has a Reflected XSS vulnerability. En MISP, en versiones anteriores a la 2.4.105, la plantilla de diseño por defecto "app/View/Layouts/default.ctp" tiene una vulnerabilidad de XSS reflejado. • https://github.com/MISP/MISP/commit/586cca384be6710b03e14bcbeb7588c1772604ec • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •