Misp

Misp

81 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
9

CVE-2025-67906

  • EPSS 0.05%
  • Veröffentlicht 15.12.2025 03:25:46
  • Zuletzt bearbeitet 21.12.2025 01:15:51

In MISP before 2.5.28, app/View/Elements/Workflows/executionPath.ctp allows XSS in the workflow execution path.

4.1

CVE-2025-66386

  • EPSS 0.05%
  • Veröffentlicht 28.11.2025 00:00:00
  • Zuletzt bearbeitet 01.12.2025 15:39:33

app/Model/EventReport.php in MISP before 2.5.27 allows path traversal in view picture for a site-admin.

8.2

CVE-2025-66384

  • EPSS 0.05%
  • Veröffentlicht 28.11.2025 00:00:00
  • Zuletzt bearbeitet 01.12.2025 15:39:33

app/Controller/EventsController.php in MISP before 2.5.24 has invalid logic in checking for uploaded file validity, related to tmp_name.

6.1

CVE-2024-58130

  • EPSS 0.17%
  • Veröffentlicht 28.03.2025 22:15:17
  • Zuletzt bearbeitet 15.07.2025 18:49:50

In app/Controller/Component/RestResponseComponent.php in MISP before 2.4.193, REST endpoints have a lack of sanitization for non-JSON responses.

4.8

CVE-2024-58129

  • EPSS 0.22%
  • Veröffentlicht 28.03.2025 22:15:17
  • Zuletzt bearbeitet 08.07.2025 17:30:50

In MISP before 2.4.193, menu_custom_right_link_html parameters can be set via the UI (i.e., without using the CLI) and thus attackers with admin privileges can conduct XSS attacks against every page.

4.8

CVE-2024-58128

  • EPSS 0.22%
  • Veröffentlicht 28.03.2025 22:15:17
  • Zuletzt bearbeitet 08.07.2025 17:31:44

In MISP before 2.4.193, menu_custom_right_link parameters can be set via the UI (i.e., without using the CLI) and thus attackers with admin privileges can conduct XSS attacks via a global menu link.

4.3

CVE-2024-57969

  • EPSS 0.09%
  • Veröffentlicht 14.02.2025 07:15:32
  • Zuletzt bearbeitet 09.07.2025 15:00:03

app/Model/Attribute.php in MISP before 2.4.198 ignores an ACL during a GUI attribute search.

6.1

CVE-2024-54675

  • EPSS 0.12%
  • Veröffentlicht 04.12.2024 21:15:25
  • Zuletzt bearbeitet 05.12.2024 19:15:09

app/webroot/js/workflows-editor/workflows-editor.js in MISP through 2.5.2 has stored XSS in the editor interface for an ad-hoc workflow.

6.1

CVE-2024-54674

  • EPSS 0.12%
  • Veröffentlicht 04.12.2024 21:15:25
  • Zuletzt bearbeitet 05.12.2024 19:15:08

app/View/GalaxyClusters/cluster_export_misp_galaxy.ctp in MISP through 2.5.2 has stored XSS when exporting custom clusters into the misp-galaxy format.

4.9

CVE-2024-46918

  • EPSS 0.1%
  • Veröffentlicht 15.09.2024 20:15:02
  • Zuletzt bearbeitet 13.03.2025 15:15:48

app/Controller/UserLoginProfilesController.php in MISP before 2.4.198 does not prevent an org admin from viewing sensitive login fields of another org admin in the same org.