CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 1CVE-2020-11458
https://notcve.org/view.php?id=CVE-2020-11458
02 Apr 2020 — app/Model/feed.php in MISP before 2.4.124 allows administrators to choose arbitrary files that should be ingested by MISP. This does not cause a leak of the full contents of a file, but does cause a leaks of strings that match certain patterns. Among the data that can leak are passwords from database.php or GPG key passphrases from config.php. El archivo app/Model/feed.php en MISP versiones anteriores a 2.4.124, permite a administradores elegir archivos arbitrarios que deberían ser consumidos por MISP. Esto... • https://github.com/MISP/MISP/commit/30ff4b6451549dae7b526d4fb3a49061311ed477 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-10246
https://notcve.org/view.php?id=CVE-2020-10246
09 Mar 2020 — MISP 2.4.122 has reflected XSS via unsanitized URL parameters. This is related to app/View/Users/statistics_orgs.ctp. MISP versión 2.4.122, presenta una vulnerabilidad de tipo XSS reflejado por medio de parámetros URL no saneados. Esto está relacionado con el archivo app/View/Users/statistics_orgs.ctp. • https://github.com/MISP/MISP/commit/43a0757fb33769d9ad4ca09e8f2ac572f9f6a491 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-10247
https://notcve.org/view.php?id=CVE-2020-10247
09 Mar 2020 — MISP 2.4.122 has Persistent XSS in the sighting popover tool. This is related to app/View/Elements/Events/View/sighting_field.ctp. MISP versión 2.4.122, presenta una vulnerabilidad de tipo XSS Persistente en la herramienta popover de observación. Esto está relacionado con el archivo app/View/Elements/Events/View/sighting_field.ctp. • https://github.com/MISP/MISP/commit/e24a9eb44c1306adb02c1508e8f266ac6b95b4ed • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8890
https://notcve.org/view.php?id=CVE-2020-8890
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. It mishandled time skew (between the machine hosting the web server and the machine hosting the database) when trying to block a brute-force series of invalid requests. Se detectó un problema en MISP versiones anteriores a 2.4.121. Manejó inapropiadamente la distorsión del tiempo (entre la máquina que aloja el servidor web y la máquina que aloja la base de datos) cuando intenta bloquear una serie de peticiones inválidas de fuerza bruta. • https://github.com/MISP/MISP/commit/934c82819237b4edf1da64587b72a87bec5dd520 • CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8891
https://notcve.org/view.php?id=CVE-2020-8891
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. It did not canonicalize usernames when trying to block a brute-force series of invalid requests. Se detectó un problema en MISP versiones anteriores a 2.4.121. No canonicalizó los nombres de usuario cuando intenta bloquear una serie de peticiones inválidas de fuerza bruta. • https://github.com/MISP/MISP/commit/934c82819237b4edf1da64587b72a87bec5dd520 •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8892
https://notcve.org/view.php?id=CVE-2020-8892
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. It did not consider the HTTP PUT method when trying to block a brute-force series of invalid requests. Se detectó un problema en MISP versiones anteriores a 2.4.121. No consideró el método HTTP PUT al intentar bloquear una serie de peticiones inválidas de fuerza bruta. • https://github.com/MISP/MISP/commit/934c82819237b4edf1da64587b72a87bec5dd520 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8893
https://notcve.org/view.php?id=CVE-2020-8893
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. The Galaxy view contained an incorrectly sanitized search string in app/View/Galaxies/view.ctp. Se detectó un problema en MISP versiones anteriores a 2.4.121. La vista Galaxy contenía una cadena de búsqueda saneada incorrectamente en el archivo app/View/Galaxies/view.ctp. • https://github.com/MISP/MISP/commit/3d982d92fd26584115c01f8c560a688d1096b65c •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8894
https://notcve.org/view.php?id=CVE-2020-8894
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. ACLs for discussion threads were mishandled in app/Controller/ThreadsController.php and app/Model/Thread.php. Se detectó un problema en MISP versiones anteriores a 2.4.121. Las ACL para subprocesos (hilos) de discusión se manejaron inapropiadamente en los archivos app/Controller/ThreadsController.php y app/Model/Thread.php. • https://github.com/MISP/MISP/commit/9400b8bc8699435d84508e598aca98a31affd77c •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-19379
https://notcve.org/view.php?id=CVE-2019-19379
28 Nov 2019 — In app/Controller/TagsController.php in MISP 2.4.118, users can bypass intended restrictions on tagging data. En el archivo app/Controller/TagsController.php en MISP versión 2.4.118, los usuarios pueden omitir las restricciones previstas en los datos de etiquetado. • https://github.com/MISP/MISP/commit/e05dc512a437284f14624da23cca4a829a76aebf •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-16202
https://notcve.org/view.php?id=CVE-2019-16202
10 Sep 2019 — MISP before 2.4.115 allows privilege escalation in certain situations. After updating to 2.4.115, escalation attempts are blocked by the __checkLoggedActions function with a "This could be an indication of an attempted privilege escalation on older vulnerable versions of MISP (<2.4.115)" message. MISP versiones anteriores a 2.4.115, permite una escalada de privilegios en ciertas situaciones. Después de actualizar a la versión 2.4.115, los intentos de escalada son bloqueados por la función __checkLoggedActio... • https://excellium-services.com/cert-xlm-advisory/cve-2019-16202 • CWE-269: Improper Privilege Management •