Uwierzytelniony administrator serwisu MISP mógł wskazać dowolną ścieżkę systemu plików jako konfigurację rdkafka, co pozwalało na załadowanie zewnętrznej biblioteki i wykonanie dowolnego kodu. Podatność jest krytyczna, ponieważ skutkuje pełnym przejęciem kontroli nad procesem MISP.
▸ Pokaż oryginał (EN)
MISP allowed an authenticated site administrator to set the Kafka_rdkafka_config setting to an arbitrary filesystem path. MISP subsequently parsed the referenced INI file and passed its options to rdkafka. A crafted attacker-controlled configuration file could use rdkafka options such as plugin.library.paths to load an external library, resulting in arbitrary code execution with the privileges of the MISP process. An attacker could leverage a MISP-writable location, such as an uploaded file or administrative image, to host the malicious configuration file. The issue is fixed by restricting the setting to absolute .ini files located only in approved configuration directories outside the webroot and MISP upload targets.
Podatność wynika z braku walidacji ścieżki do pliku INI ustawianego przez parametr Kafka_rdkafka_config — atakujący z uprawnieniami administratora serwisu mógł wskazać dowolny plik w systemie plików. MISP parsował wskazany plik INI i przekazywał jego opcje bezpośrednio do biblioteki rdkafka. Spreparowany plik konfiguracyjny mógł zawierać opcję plugin.library.paths wskazującą na złośliwą bibliotekę dynamiczną. Atakujący mógł umieścić taką bibliotekę w lokalizacji dostępnej do zapisu przez MISP, np. jako przesłany plik lub obraz administracyjny, a następnie wywołać jej załadowanie i wykonanie kodu z uprawnieniami procesu MISP.
Atakujący może wykonać dowolny kod (RCE) z uprawnieniami procesu MISP, co może prowadzić do przejęcia systemu, wycieku wrażliwych danych wywiadowczych oraz naruszenia integralności instancji MISP i systemów z nią skomunikowanych.
Należy zastosować patch dostępny w repozytorium GitHub MISP (commit 9600d486ccfc98388e13897fd954350cebac5fb0). Poprawka ogranicza parametr Kafka_rdkafka_config wyłącznie do bezwzględnych ścieżek plików .ini znajdujących się w zatwierdzonych katalogach konfiguracyjnych poza webroot i katalogami uploadu MISP. Do czasu aktualizacji zaleca się ograniczenie liczby kont z uprawnieniami administratora serwisu oraz monitorowanie zmian konfiguracji Kafka.
MISP (Misp-Project/MISP) — wersje wskazane w referencjach producenta; podatność dotyczy instancji z włączoną integracją Kafka/rdkafka i dostępem administratora serwisu
Podatność wymaga uprawnień administratora serwisu (PR:H), co ogranicza powierzchnię ataku, jednak w środowiskach z wieloma administratorami lub po przejęciu konta administratora ryzyko eskalacji jest wysokie. Poprawka została opublikowana w dniu zgłoszenia CVE (2026-06-22).
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMisp Project Misp
APPMisp-Project< 2.5.42
Powiązane podatności
MISP: błędna kontrola dostępu w masowym usuwaniu obiektów (CWE-862)
MISP: Wielokrotne słabości implementacji OAuth 2.0 z AAD – session fixation i inne
SQL Injection w MISP — manipulacja parametrami sortowania zapytań
MISP: Nieprawidłowa weryfikacja przesyłanego logo organizacji
MISP: Nieprawidłowa walidacja uploadu pliku umożliwia RCE