CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-31780
https://notcve.org/view.php?id=CVE-2021-31780
23 Apr 2021 — In app/Model/MispObject.php in MISP 2.4.141, an incorrect sharing group association could lead to information disclosure on an event edit. When an object has a sharing group associated with an event edit, the sharing group object is ignored and instead the passed local ID is reused. En el archivo app/Model/MispObject.php en MISP versión 2.4.141, una asociación de grupo de intercambio incorrecta podría conllevar a la divulgación de información en una edición de evento. Cuando un objeto presenta un grupo... • https://github.com/MISP/MISP/commit/a0f08501d2850025892e703f40fb1570c7995478 • CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-27904
https://notcve.org/view.php?id=CVE-2021-27904
02 Mar 2021 — An issue was discovered in app/Model/SharingGroupServer.php in MISP 2.4.139. In the implementation of Sharing Groups, the "all org" flag sometimes provided view access to unintended actors. Se detectó un problema en el archivo app/Model/SharingGroupServer.php en MISP versión 2.4.139. En la implementación de Sharing Groups, el flag "all org" algunas veces proporcionaba acceso de visualización a actores no deseados • https://github.com/MISP/MISP/commit/ca13fee271ad126832c88896776f3050a6c06e64 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-24085
https://notcve.org/view.php?id=CVE-2020-24085
20 Jan 2021 — A cross-site scripting (XSS) vulnerability exists in MISP v2.4.128 in app/Controller/UserSettingsController.php at SetHomePage() function. Due to a lack of controller validation in "path" parameter, an attacker can execute malicious JavaScript code. Se presenta una vulnerabilidad de tipo cross site scripting (XSS) en MISP v2.4.128 en el archivo app/Controller/UserSettingsController.php en la función SetHomePage(). Debido a la falta de comprobación del controlador en el parámetro "path", un atacante pue... • https://github.com/MISP/MISP/commit/b3550b48f30ad9fef86c5b5c664487aaf6f52787 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-3184
https://notcve.org/view.php?id=CVE-2021-3184
19 Jan 2021 — MISP 2.4.136 has XSS via a crafted URL to the app/View/Elements/global_menu.ctp user homepage favourite button. MISP versión 2.4.136, presenta un XSS por medio de una URL diseñada para el botón favorito de la página de inicio del usuario app/View/Elements/global_menu.ctp • https://github.com/MISP/MISP/commit/8283e0fbec551f45f3f181cdb2cf29cddc23df66 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-25323
https://notcve.org/view.php?id=CVE-2021-25323
19 Jan 2021 — The default setting of MISP 2.4.136 did not enable the requirements (aka require_password_confirmation) to provide the previous password when changing a password. La configuración predeterminada de MISP versión 2.4.136 no habilitó los requisitos (también se conoce como require_password_confirmation) para proporcionar la contraseña anterior al cambiar una contraseña • https://github.com/MISP/MISP/commit/afbf95a478b6e94f532ca0776c79da1b08be7eed • CWE-640: Weak Password Recovery Mechanism for Forgotten Password •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-25324
https://notcve.org/view.php?id=CVE-2021-25324
19 Jan 2021 — MISP 2.4.136 has Stored XSS in the galaxy cluster view via a cluster name to app/View/GalaxyClusters/view.ctp. MISP versión 2.4.136, presenta un XSS Almacenado en la vista del clúster galaxy por medio de un nombre de clúster en el archivo app/View/GalaxyClusters/view.ctp • https://github.com/MISP/MISP/commit/741243f707cac7de1a3769a38e03004f037f4a3d • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-25325
https://notcve.org/view.php?id=CVE-2021-25325
19 Jan 2021 — MISP 2.4.136 has XSS via galaxy cluster element values to app/View/GalaxyElements/ajax/index.ctp. Reference types could contain javascript: URLs. MISP versión 2.4.136, presenta un XSS por medio de valores de elementos del clúster galaxy en el archivo app/View/GalaxyElements/ajax/index.ctp. Los tipos de referencia pueden contener unas URL javascript: • https://github.com/MISP/MISP/commit/829c3199ba3afdecb52e0719509f3df4463be5b4 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-29572
https://notcve.org/view.php?id=CVE-2020-29572
05 Dec 2020 — app/View/Elements/genericElements/SingleViews/Fields/genericField.ctp in MISP 2.4.135 has XSS via the authkey comment field. El archivo app/View/Elements/genericElements/SingleViews/Fields/genericField.ctp en MISP versión 2.4.135 presenta una vulnerabilidad de tipo XSS por medio del campo de comentarios authkey • https://github.com/MISP/MISP/commit/0bfc0bf38a7758b27c5c446fec5e3b905e5a54ab • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-29006
https://notcve.org/view.php?id=CVE-2020-29006
24 Nov 2020 — MISP before 2.4.135 lacks an ACL check, related to app/Controller/GalaxyElementsController.php and app/Model/GalaxyElement.php. MISP versiones anteriores a 2.4.135, carece de una comprobación de la ACL, relacionada con los archivos app/Controller/GalaxyElementsController.php y app/ Model/GalaxyElement.php • https://github.com/MISP/MISP/commit/423750573d07f1a463f115ef37182c1825080da4 • CWE-862: Missing Authorization •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-28947
https://notcve.org/view.php?id=CVE-2020-28947
19 Nov 2020 — In MISP 2.4.134, XSS exists in the template element index view because the id parameter is mishandled. En MISP versión 2.4.134, una vulnerabilidad de tipo XSS se presenta en la vista de índice del elemento de plantilla porque el parámetro id es maneja inapropiadamente • https://github.com/MISP/MISP/commit/626ca544ffb5604ea01bb291f69811668b6b5631 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •