CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-28043
https://notcve.org/view.php?id=CVE-2020-28043
01 Nov 2020 — MISP through 2.4.133 allows SSRF in the REST client via the use_full_path parameter with an arbitrary URL. MISP versiones hasta 2.4.133, permite un ataque de tipo SSRF en el cliente REST por medio del parámetro use_full_path con una URL arbitraria • https://github.com/MISP/MISP/commit/6e81c8ee8ad19576c055b5c4773f914b918f32be • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-25766
https://notcve.org/view.php?id=CVE-2020-25766
18 Sep 2020 — An issue was discovered in MISP before 2.4.132. It can perform an unwanted action because of a POST operation on a form that is not linked to the login page. Se detectó un problema en MISP versiones anteriores a 2.4.132. Puede llevar a cabo una acción no deseada debido a una operación POST en un formulario que no está vinculado a la página de inicio de sesión • https://github.com/MISP/MISP/commit/164963100a830234744a6004d5eda55d24e97b2a •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15711
https://notcve.org/view.php?id=CVE-2020-15711
14 Jul 2020 — In MISP before 2.4.129, setting a favourite homepage was not CSRF protected. En MISP versiones anteriores a 2.4.129, se establece una página de inicio favorita que no fue protegida de CSRF • https://github.com/MISP/MISP/commit/bf4610c947c7dc372c4078f363d2dff6ae0703a8 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15412
https://notcve.org/view.php?id=CVE-2020-15412
30 Jun 2020 — An issue was discovered in MISP 2.4.128. app/Controller/EventsController.php lacks an event ACL check before proceeding to allow a user to send an event contact form. Se detectó un problema en MISP versión 2.4.128. El archivo app/Controller/EventsController.php carece de una comprobación de la ACL del evento antes de proceder a permitir a un usuario enviar un formulario de contacto de evento • https://github.com/MISP/MISP/commit/b0be3b07fee2ab9bf1869ef81a7f24f58bd687ef • CWE-862: Missing Authorization •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15411
https://notcve.org/view.php?id=CVE-2020-15411
30 Jun 2020 — An issue was discovered in MISP 2.4.128. app/Controller/AttributesController.php has insufficient ACL checks in the attachment downloader. Se detectó un problema en MISP versión 2.4.128. El archivo app/Controller/AttributesController.php no presenta suficientes comprobaciones de la ACL en el descargador de archivos adjuntos • https://github.com/MISP/MISP/commit/d14ce7de709cdde3ecc9433e38e14c682894e88a •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14969
https://notcve.org/view.php?id=CVE-2020-14969
22 Jun 2020 — app/Model/Attribute.php in MISP 2.4.127 lacks an ACL lookup on attribute correlations. This occurs when querying the attribute restsearch API, revealing metadata about a correlating but unreachable attribute. el archivo app/Model/Attribute.php en MISP versión 2.4.127, carece de una búsqueda de la ACL en las correlaciones de atributos. Esto ocurre cuando se consulta la API restsearch de atributo, revelando metadatos sobre un atributo correlativo pero inalcanzable • https://github.com/MISP/MISP/commit/609bfbd450c933d21c50c9f0161d633c43413eb6 • CWE-862: Missing Authorization •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-13153
https://notcve.org/view.php?id=CVE-2020-13153
18 May 2020 — app/View/Events/resolved_attributes.ctp in MISP before 2.4.126 has XSS in the resolved attributes view. El archivo app/View/Events/resolved_attributes.ctp en MISP versiones anteriores a 2.4.126, presenta una vulnerabilidad de tipo XSS en la vista de atributos resueltos. • https://github.com/MISP/MISP/commit/2989aa05225aa9b3a592ca50cbf8350ef256909c • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-12889
https://notcve.org/view.php?id=CVE-2020-12889
15 May 2020 — MISP MISP-maltego 1.4.4 incorrectly shares a MISP connection across users in a remote-transform use case. MISP MISP-maltego versión 1.4.4, comparte incorrectamente una conexión MISP entre usuarios en un caso de uso de transformación remota. • https://github.com/MISP/MISP-maltego/commit/3ccde66dab4096ab5663e69f352992cc73e1160b •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 1CVE-2020-11458
https://notcve.org/view.php?id=CVE-2020-11458
02 Apr 2020 — app/Model/feed.php in MISP before 2.4.124 allows administrators to choose arbitrary files that should be ingested by MISP. This does not cause a leak of the full contents of a file, but does cause a leaks of strings that match certain patterns. Among the data that can leak are passwords from database.php or GPG key passphrases from config.php. El archivo app/Model/feed.php en MISP versiones anteriores a 2.4.124, permite a administradores elegir archivos arbitrarios que deberían ser consumidos por MISP. Esto... • https://github.com/MISP/MISP/commit/30ff4b6451549dae7b526d4fb3a49061311ed477 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-10246
https://notcve.org/view.php?id=CVE-2020-10246
09 Mar 2020 — MISP 2.4.122 has reflected XSS via unsanitized URL parameters. This is related to app/View/Users/statistics_orgs.ctp. MISP versión 2.4.122, presenta una vulnerabilidad de tipo XSS reflejado por medio de parámetros URL no saneados. Esto está relacionado con el archivo app/View/Users/statistics_orgs.ctp. • https://github.com/MISP/MISP/commit/43a0757fb33769d9ad4ca09e8f2ac572f9f6a491 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •