Vulnerabilidades SQLi en MISP

Fecha de publicación
20/02/2023
Importancia
5 - Crítica
Recursos Afectados

MISP, versiones anteriores a 2.4.166 y 2.4.167.

Descripción

Los investigadores, Jakub Onderka y Dawid Czarnecki, han reportado 2 vulnerabilidades críticas de inyección SQL que afectan a MISP, cuya explotación podría permitir a un usuario, no autenticado, la ejecución de consultas SQL arbitrarias.

Solución

Actualizar MISP a las versiones 2.4.166 o 2.4.167 para solucionar estas vulnerabilidades.

Detalle
  • Los usuarios podían proporcionar un ordenamiento de campos personalizado para ciertos endpoints, como RestSearch, utilizando parámetros URL con el formato /order:field_name. Sin embargo, el parámetro "order" de la función find() de CakePHP no era seguro contra un SQLi y, por lo tanto, se ha introducido una lista de campos permitidos para cualquier aparición de campos de orden personalizados. Se ha asignado el identificador CVE-2022-48329 para esta vulnerabilidad.
  • El componente CRUD podría permitir pasar parámetros de búsqueda personalizados, y mientras que los valores de búsqueda son seguros contra un SQLi, los propios nombres de campo no lo son. Con algunas peticiones falsas especialmente diseñadas, se podrían vulnerar, por lo que se ha pasado a permitir el listado de estos nombres de campo. Se ha asignado el identificador CVE-2022-48328 para esta vulnerabilidad.

Encuesta valoración

Ir arriba