MISP before 2.4.166 unsafely allows users to use the order parameter, related to app/Model/Attribute.php, app/Model/GalaxyCluster.php, app/Model/Workflow.php, and app/Plugin/Assets/models/behaviors/LogableBehavior.php.
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMisp Project Misp
APPMisp-Project< 2.4.166
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
References
Related vulnerabilities
CVE-2026-56425CRITICAL9.3PL ✓ten sam produkt
MISP: Wielokrotne słabości implementacji OAuth 2.0 z AAD – session fixation i inne
CVE-2026-56447CRITICAL9.3PL ✓ten sam produkt
MISP: RCE przez złośliwy plik konfiguracyjny rdkafka (CWE-829)
CVE-2026-56423CRITICAL9.4PL ✓ten sam produkt
MISP: błędna kontrola dostępu w masowym usuwaniu obiektów (CWE-862)
CVE-2026-44381CRITICAL9.3PL ✓ten sam produkt
SQL Injection w MISP — manipulacja parametrami sortowania zapytań
CVE-2024-29858CRITICAL9.8PL ✓ten sam produkt
MISP: Nieprawidłowa weryfikacja przesyłanego logo organizacji