-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### ######################## UPDATE 1.01 ############################# Titel : Kwetsbaarheden verholpen in MISP Advisory ID : NCSC-2023-0048 Versie : 1.01 Kans : medium CVE ID : CVE-2022-48328, CVE-2022-48329, CVE-2023-24026, CVE-2023-24027, CVE-2023-24028, CVE-2023-24070 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high Cross-Site Scripting (XSS) Omzeilen van beveiligingsmaatregel Toegang tot gevoelige gegevens Uitgiftedatum : 20230222 Toepassing : CIRCL Malware Information Sharing Platform (MISP) Versie(s) : < 2.4.168 Platform(s) : Update MISP geeft aan dat in v 2.4.166 en 2.4.167 twee SQL-injection-kwetsbaarheden zijn verholpen middels een silent-procedure. Misbruik van deze kwetsbaarheden stellen een kwaadwillende in staat om toegang te krijgen tot gevoelige gegevens. De betrokken CVE's met kenmerk CVE-2022-48328 en CVE-2022-48329 zijn aan dit beveiligingsadvies toegevoegd. De inschaling van dit advies verhoogt daarmee naar MEDIUM/HIGH Beschrijving De ontwikkelaars van MISP hebben kwetsbaarheden verholpen in MISP. De kwetsbaarheden met kenmerk CVE-2023-24070, CVE-2023-24026 en CVE-2023-24027 stellen een kwaadwillende in staat een Cross-Site Scripting (XSS) aanval uit te voeren. Een dergelijke aanval kan leiden tot de uitvoer van willekeurige scriptcode in de browser waarmee de applicatie wordt bezocht. De kwetsbaarheid met het kenmerk CVE-2023-24028 stelt een ongeauthenticeerde kwaadwillende in staat om een beveiligingsmaatregel te omzeilen. |De kwetsbaarheden met kenmerk CVE-2022-48328 en CVE-2022-48329 stellen een kwaadwillende in staat om toegang te krijgen tot gevoelige gegevens middels een SQL-injection. Mogelijke oplossingen De MISP community heeft updates uitgebracht om de kwetsbaarheden te verhelpen in MISP 2.4.168. Voor meer informatie, zie: https://github.com/MISP/MISP/releases/tag/v2.4.168 https://github.com/MISP/MISP/commit /f7238fe5e71ac065daa43c8607d02f8ac682f18f https://github.com/MISP/MISP/commit /a46f794a136001101cbec84fccf3cc824e983493 https://github.com/MISP/MISP/commit /72c5424034c378583d128fc1e769aae33fb1c8b9 https://github.com/MISP/MISP/commit /93bf15d3bd703a32ebfe86cb6c1c9b735cf23e30 https://www.misp-project.org/2023/02/20 /Critical_SQL_Injection_Vulnerabilities_Fixed.html/ Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBY/XJZv4Vd0fJc7lbAQrGmAv/T5WKH+dEY65sfbOnYRV3CGqZn/2eE8QD wg1GN5k+NNMHuFs6/DWx/4fOWu2Pzjwzpn1qeXTw3Ha9m074etBjwdUiqKMn8viD 4fMxgURP0189cVc8J9hp7/rZkbvXibz9ga009r4Sc2RYsEfQUKiMSYDb3pVncNzT Lv3zhWf2bqWRBDra/4AyOtyNmtKSt5yLx/rl29tM7990nKd6FzQFQ2hXI9IrW18X zxVldFIwMbN3QR+Kme52IvebSNU+qFxbnYjLVCsrurKMptNL6JaQVgDlqPekEDv4 moJeuGR7A/uP3vDE3NIdfp3cOqYGtz86SbfWkZUsD2WRGKOFxgNMammkQcZITtQr UsyOKjxQCpFVHE2XDyFmy5xRWtXzV6aw9bQIjLfX+oqkPTD5HYOwKuGaBsrS03R2 IudkXEIjxRowoR4VHjhTXUegG7VplDLQjgwvSsPYzRQvDNOc5qYXYSJD5lrsJ9gR iBiMgEGD/MZMwfNEkIM5e2iJLRZofFq3 =j8j0 -----END PGP SIGNATURE-----