Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Déni de service à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- MISP versions antérieures à 2.4.156
Résumé
De multiples vulnérabilités ont été découvertes dans MISP. Elles permettent à un attaquant de provoquer une atteinte à l'intégrité des données, une atteinte à la confidentialité des données et un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité MISP 08a07a38ae81f3b55d81cfcd4501ac1eb1c9c4dc du 25 mars 2022 https://github.com/MISP/MISP/commit/08a07a38ae81f3b55d81cfcd4501ac1eb1c9c4dc
- Bulletin de sécurité MISP 61d4d3670593b78e4dab7a11eb620b7a372f30e6 du 25 mars 2022 https://github.com/MISP/MISP/commit/61d4d3670593b78e4dab7a11eb620b7a372f30e6
- Bulletin de sécurité MISP 8cc93687dcd68e1774b55a5c4e8125c0c8ddc288 du 25 mars 2022 https://github.com/MISP/MISP/commit/8cc93687dcd68e1774b55a5c4e8125c0c8ddc288
- Bulletin de sécurité MISP 8dcf414340c5ddedfebbc972601646d38e1d0717 du 25 mars 2022 https://github.com/MISP/MISP/commit/8dcf414340c5ddedfebbc972601646d38e1d0717
- Référence CVE CVE-2022-27243 https://www.cve.org/CVERecord?id=CVE-2022-27243
- Référence CVE CVE-2022-27244 https://www.cve.org/CVERecord?id=CVE-2022-27244
- Référence CVE CVE-2022-27245 https://www.cve.org/CVERecord?id=CVE-2022-27245
- Référence CVE CVE-2022-27246 https://www.cve.org/CVERecord?id=CVE-2022-27246