Misp

Misp

82 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
4.9

CVE-2024-46918

  • EPSS 0.1%
  • Veröffentlicht 15.09.2024 20:15:02
  • Zuletzt bearbeitet 13.03.2025 15:15:48

app/Controller/UserLoginProfilesController.php in MISP before 2.4.198 does not prevent an org admin from viewing sensitive login fields of another org admin in the same org.

6.5

CVE-2024-45509

  • EPSS 0.14%
  • Veröffentlicht 01.09.2024 22:15:14
  • Zuletzt bearbeitet 04.09.2024 16:45:08

In MISP through 2.4.196, app/Controller/BookmarksController.php does not properly restrict access to bookmarks data in the case where the user is not an org admin.

9.8

CVE-2024-29859

  • EPSS 0.1%
  • Veröffentlicht 21.03.2024 04:15:09
  • Zuletzt bearbeitet 05.03.2025 18:24:35

In MISP before 2.4.187, add_misp_export in app/Controller/EventsController.php does not properly check for a valid file upload.

9.8

CVE-2024-29858

  • EPSS 0.11%
  • Veröffentlicht 21.03.2024 04:15:09
  • Zuletzt bearbeitet 17.06.2025 13:51:32

In MISP before 2.4.187, __uploadLogo in app/Controller/OrganisationsController.php does not properly check for a valid logo upload.

9.8

CVE-2024-25675

  • EPSS 0.14%
  • Veröffentlicht 09.02.2024 09:15:08
  • Zuletzt bearbeitet 16.06.2025 18:15:20

An issue was discovered in MISP before 2.4.184. A client does not need to use POST to start an export generation process. This is related to app/Controller/JobsController.php and app/View/Events/export.ctp.

9.8

CVE-2024-25674

  • EPSS 0.14%
  • Veröffentlicht 09.02.2024 09:15:08
  • Zuletzt bearbeitet 21.11.2024 09:01:12

An issue was discovered in MISP before 2.4.184. Organisation logo upload is insecure because of a lack of checks for the file extension and MIME type.

9.8

CVE-2023-50918

  • EPSS 0.23%
  • Veröffentlicht 15.12.2023 18:15:07
  • Zuletzt bearbeitet 21.11.2024 08:37:31

app/Controller/AuditLogsController.php in MISP before 2.4.182 mishandles ACLs for audit logs.

6.1

CVE-2023-49926

  • EPSS 0.1%
  • Veröffentlicht 03.12.2023 03:15:07
  • Zuletzt bearbeitet 21.11.2024 08:34:00

app/Lib/Tools/EventTimelineTool.php in MISP before 2.4.179 allows XSS in the event timeline widget.

6.1

CVE-2023-41098

  • EPSS 0.1%
  • Veröffentlicht 23.08.2023 06:15:07
  • Zuletzt bearbeitet 21.11.2024 08:20:34

An issue was discovered in MISP 2.4.174. In app/Controller/DashboardsController.php, a reflected XSS issue exists via the id parameter upon a dashboard edit.

6.1

CVE-2023-40224

  • EPSS 0.1%
  • Veröffentlicht 10.08.2023 20:15:11
  • Zuletzt bearbeitet 21.11.2024 08:19:02

MISP 2.4.174 allows XSS in app/View/Events/index.ctp.