Se ha descubierto una vulnerabilidad de severidad alta en productos MISP Project. Un actor malicioso podría realizar la manipulación no autorizada de datos en los sistemas afectados.
Productos afectados
Proyecto MISP:
- Versiones anteriores a la 2.5.38.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–9136: con una puntuación de 8.3 en CVSS v4.0. Existe una vulnerabilidad de omisión de autorización mediante una clave controlada por el usuario en el flujo de creación de propuestas ShadowAttribute. Un actor malicioso remoto y autenticado podría enviar una solicitud que incluya un campo de identificación específico para que el sistema, al no sanear dicha entrada, interprete la acción como una actualización de un registro existente en lugar de una nueva creación. Esto permite sobrescribir información crítica y exponer o mover datos entre diferentes contextos de eventos.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias