CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-10247
https://notcve.org/view.php?id=CVE-2020-10247
09 Mar 2020 — MISP 2.4.122 has Persistent XSS in the sighting popover tool. This is related to app/View/Elements/Events/View/sighting_field.ctp. MISP versión 2.4.122, presenta una vulnerabilidad de tipo XSS Persistente en la herramienta popover de observación. Esto está relacionado con el archivo app/View/Elements/Events/View/sighting_field.ctp. • https://github.com/MISP/MISP/commit/e24a9eb44c1306adb02c1508e8f266ac6b95b4ed • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8890
https://notcve.org/view.php?id=CVE-2020-8890
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. It mishandled time skew (between the machine hosting the web server and the machine hosting the database) when trying to block a brute-force series of invalid requests. Se detectó un problema en MISP versiones anteriores a 2.4.121. Manejó inapropiadamente la distorsión del tiempo (entre la máquina que aloja el servidor web y la máquina que aloja la base de datos) cuando intenta bloquear una serie de peticiones inválidas de fuerza bruta. • https://github.com/MISP/MISP/commit/934c82819237b4edf1da64587b72a87bec5dd520 • CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8891
https://notcve.org/view.php?id=CVE-2020-8891
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. It did not canonicalize usernames when trying to block a brute-force series of invalid requests. Se detectó un problema en MISP versiones anteriores a 2.4.121. No canonicalizó los nombres de usuario cuando intenta bloquear una serie de peticiones inválidas de fuerza bruta. • https://github.com/MISP/MISP/commit/934c82819237b4edf1da64587b72a87bec5dd520 •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8892
https://notcve.org/view.php?id=CVE-2020-8892
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. It did not consider the HTTP PUT method when trying to block a brute-force series of invalid requests. Se detectó un problema en MISP versiones anteriores a 2.4.121. No consideró el método HTTP PUT al intentar bloquear una serie de peticiones inválidas de fuerza bruta. • https://github.com/MISP/MISP/commit/934c82819237b4edf1da64587b72a87bec5dd520 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8893
https://notcve.org/view.php?id=CVE-2020-8893
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. The Galaxy view contained an incorrectly sanitized search string in app/View/Galaxies/view.ctp. Se detectó un problema en MISP versiones anteriores a 2.4.121. La vista Galaxy contenía una cadena de búsqueda saneada incorrectamente en el archivo app/View/Galaxies/view.ctp. • https://github.com/MISP/MISP/commit/3d982d92fd26584115c01f8c560a688d1096b65c •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8894
https://notcve.org/view.php?id=CVE-2020-8894
11 Feb 2020 — An issue was discovered in MISP before 2.4.121. ACLs for discussion threads were mishandled in app/Controller/ThreadsController.php and app/Model/Thread.php. Se detectó un problema en MISP versiones anteriores a 2.4.121. Las ACL para subprocesos (hilos) de discusión se manejaron inapropiadamente en los archivos app/Controller/ThreadsController.php y app/Model/Thread.php. • https://github.com/MISP/MISP/commit/9400b8bc8699435d84508e598aca98a31affd77c •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-19379
https://notcve.org/view.php?id=CVE-2019-19379
28 Nov 2019 — In app/Controller/TagsController.php in MISP 2.4.118, users can bypass intended restrictions on tagging data. En el archivo app/Controller/TagsController.php en MISP versión 2.4.118, los usuarios pueden omitir las restricciones previstas en los datos de etiquetado. • https://github.com/MISP/MISP/commit/e05dc512a437284f14624da23cca4a829a76aebf •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-16202
https://notcve.org/view.php?id=CVE-2019-16202
10 Sep 2019 — MISP before 2.4.115 allows privilege escalation in certain situations. After updating to 2.4.115, escalation attempts are blocked by the __checkLoggedActions function with a "This could be an indication of an attempted privilege escalation on older vulnerable versions of MISP (<2.4.115)" message. MISP versiones anteriores a 2.4.115, permite una escalada de privilegios en ciertas situaciones. Después de actualizar a la versión 2.4.115, los intentos de escalada son bloqueados por la función __checkLoggedActio... • https://excellium-services.com/cert-xlm-advisory/cve-2019-16202 • CWE-269: Improper Privilege Management •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-14286
https://notcve.org/view.php?id=CVE-2019-14286
27 Jul 2019 — In app/webroot/js/event-graph.js in MISP 2.4.111, a stored XSS vulnerability exists in the event-graph view when a user toggles the event graph view. A malicious MISP event must be crafted in order to trigger the vulnerability. En el archivo app/webroot/js/event-graph.js en MISP versión 2.4.111, se presenta una vulnerabilidad de tipo XSS almacenado en la visualización de gráficos de eventos cuando un usuario alterna la visualización de gráficos de eventos. Se necesita diseñar un evento MISP malicioso para d... • https://github.com/MISP/MISP/commit/26bedd8a68c32a2f14460a8eac2a9fb09923392b • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 2%CPEs: 1EXPL: 0CVE-2019-12868
https://notcve.org/view.php?id=CVE-2019-12868
17 Jun 2019 — app/Model/Server.php in MISP 2.4.109 allows remote command execution by a super administrator because the PHP file_exists function is used with user-controlled entries, and phar:// URLs trigger deserialization. El archivo app/Model/Server.php en MISP versión 2.4.109 permite la ejecución de comandos remota por parte de un super administrador porque la función file_exists de PHP se utiliza con entradas controladas por el usuario, y las URL phar:// activan la deserialización. • https://github.com/MISP/MISP/commit/c42c5fe92783dd306b7600db1f6a25324445b40c • CWE-502: Deserialization of Untrusted Data •