Se ha descubierto una vulnerabilidad de severidad crítica en la plataforma del proyecto MISP. Un actor malicioso podría realizar la manipulación de datos de otros usuarios o registros dentro del sistema sin la debida autorización.
Productos afectados
Proyecto Misp
- versiones anteriores a la 2.5.39
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-10868: con una puntuación de 9.0 en CVSS v4.0. Existe una vulnerabilidad de gestión inadecuada de privilegios en la función UsersController::edit() del software de inteligencia de amenazas MISP. Este error se debe a una asignación masiva insegura o falta de validación estricta de los campos de entrada basados en el ID del usuario. Un actor malicioso autenticado en la plataforma puede modificar maliciosamente los parámetros de la solicitud enviada al servidor especificando un identificador ajeno, logrando alterar los registros y perfiles de otros usuarios del sistema de destino.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias