An issue was discovered in MISP 2.4.108. Organization admins could reset credentials for site admins (organization admins have the inherent ability to reset passwords for all of their organization's users). This, however, could be abused in a situation where the host organization of an instance creates organization admins. An organization admin could set a password manually for the site admin or simply use the API key of the site admin to impersonate them. The potential for abuse only occurs when the host organization creates lower-privilege organization admins instead of the usual site admins. Also, only organization admins of the same organization as the site admin could abuse this.
Un problema fue descubierto en MISP 2.4.108. Los administradores de la organización podrían restablecer las credenciales de los administradores del sitio (los administradores de la organización tienen la capacidad inherente de restablecer las contraseñas para todos los usuarios de su organización). Sin embargo, esto podría ser objeto de abuso en una situación en la que la organización anfitriona de una instancia crea administradores de la organización. Un administrador de la organización podría establecer una contraseña manualmente para el administrador del sitio o simplemente usar la clave API del administrador del sitio para hacerse pasar por ella. El potencial de abuso solo se produce cuando la organización anfitriona crea administradores de organización con menos privilegios en lugar de los administradores de sitio habituales. Además, solo los administradores de la organización de la misma organización que el administrador del sitio podrían abusar de esto.
