-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in MISP platform Advisory ID : NCSC-2026-0213 Versie : 1.00 Kans : medium CVE ID : CVE-2026-56422, CVE-2026-56423, CVE-2026-56424, CVE-2026-56425, CVE-2026-56446, CVE-2026-56447 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Control of Generation of Code ('Code Injection') Session Fixation Authorization Bypass Through User-Controlled Key Inclusion of Functionality from Untrusted Control Sphere Missing Authorization Incorrect Authorization Uitgiftedatum : 20260629 Toepassing : MISP MISP Versie(s) : Platform(s) : Beschrijving MISP heeft meerdere kwetsbaarheden verholpen in het MISP platform. De kwetsbaarheden betreffen onder andere het manipuleren van client- supplied primary en foreign keys door geauthenticeerde gebruikers, wat leidde tot ongeautoriseerd overschrijven van data, eigendomsoverdracht en wijziging van de scope van records. Verder was er een gebrekkige toegangcontrole bij bulkverwijdering van Event Reports en Sharing Groups, waardoor gebruikers met brede rolrechten items van andere organisaties konden verwijderen. Ook waren er meerdere toegangcontroleproblemen die het mogelijk maakten om ongeautoriseerde wijzigingen of verwijderingen over organisatiegrenzen heen uit te voeren. Daarnaast bevatte het platform een kwetsbaarheid waarbij geauthenticeerde sitebeheerders de NDJSON error log path konden instellen naar een webtoegankelijk PHP-bestand, wat leidde tot remote code execution via geïnjecteerde PHP-code in logbestanden. Verder konden geauthenticeerde beheerders willekeurige Kafka configuratiebestanden specificeren, waarmee arbitrary code execution mogelijk was door het laden van kwaadaardige libraries. Deze kwetsbaarheden zijn gemitigeerd door het invoeren van server- side validatie, strikte autorisatiecontroles, beperkingen op logpadconfiguraties, en het afdwingen van toegestane locaties voor configuratiebestanden. Mogelijke oplossingen MISP heeft updates uitgebracht waarin deze kwetsbaarheden zijn verholpen door het implementeren van server-side validatie van sleutels, per-object autorisatiecontroles bij verwijderingen, beperkingen op logpadconfiguraties, en het afdwingen van toegestane locaties voor Kafka configuratiebestanden. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://github.com/advisories/GHSA-3vhv-jx5j-gj6p Reference https://github.com/advisories/GHSA-7v9f-64q7-x2jg Reference https://github.com/advisories/GHSA-834x-pvxg-xh58 Reference https://github.com/advisories/GHSA-MF7V-X7R6-FQ57 Reference https://github.com/advisories/GHSA-ch28-mjgc-m4wr Reference https://github.com/advisories/GHSA-r3v6-qw6x-wf6h Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmpCKE8ACgkQgupWoL0Z hGE8KQwAj3/uu4UPJQFfHgp4jW6UV/8+BIHWD1HAZZ4XPSG13Adi8MxAzQ1WlNlg P0r5PNMxAnrVQyTMJRjXBTDMblpiEUWfQ66eqnPbvWTF1mdKi76YtaqyTJ8LHfzs cchgkYqtkaMotl8CpFzde/Fa2iiuY6smwt5AJcSbpWrkXuvMmNe8Zpy6VJdhrvd+ VpTU/MocwiAqHcQ4fAHuPupdTi//odgZ2sgktQNMznp1s1+0Y4ylqy9UNICtyovI 3Sx2INeG8PTN2tR8q45Wm9n84xon5lg8AQFFLUHpJyhLWnu6IbCicsP6J5E4+G52 Kk7WAHNJimakC1qrgOeprv9lHInx1impn5bYdJnYZqFKk6csNafgJtH9uV6v9KnW uD+lmmZwv8sCU5dJFKn/PiLQs65S+QPv/GDHL4Tmcl3YFBE80PG85aeqR5gyt2NM zzjmTrwQdu897qzzo+dWvXvdx86J4spUvNuf2zB0ncEepDTtpbH+i8TUOABeaY1G cJTjXRYY =I3YQ -----END PGP SIGNATURE-----