Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades SQLi en MISP

Fecha de publicación 20/02/2023
Identificador

INCIBE-2023-0065

Importancia
5 - Crítica
Recursos Afectados

MISP, versiones anteriores a 2.4.166 y 2.4.167.

Descripción

Los investigadores, Jakub Onderka y Dawid Czarnecki, han reportado 2 vulnerabilidades críticas de inyección SQL que afectan a MISP, cuya explotación podría permitir a un usuario, no autenticado, la ejecución de consultas SQL arbitrarias.

Solución

Actualizar MISP a las versiones 2.4.166 o 2.4.167 para solucionar estas vulnerabilidades.

Detalle
  • Los usuarios podían proporcionar un ordenamiento de campos personalizado para ciertos endpoints, como RestSearch, utilizando parámetros URL con el formato /order:field_name. Sin embargo, el parámetro "order" de la función find() de CakePHP no era seguro contra un SQLi y, por lo tanto, se ha introducido una lista de campos permitidos para cualquier aparición de campos de orden personalizados. Se ha asignado el identificador CVE-2022-48329 para esta vulnerabilidad.
  • El componente CRUD podría permitir pasar parámetros de búsqueda personalizados, y mientras que los valores de búsqueda son seguros contra un SQLi, los propios nombres de campo no lo son. Con algunas peticiones falsas especialmente diseñadas, se podrían vulnerar, por lo que se ha pasado a permitir el listado de estos nombres de campo. Se ha asignado el identificador CVE-2022-48328 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
CRITICAL SQL INJECTION VULNERABILITIES IN MISP (FIXED IN V2.4.166 AND V2.4.167)
Etiquetas