Vulnerabilidades SQLi en MISP

Fecha de publicación: 20/02/2023

Importancia:
Crítica

Recursos afectados:

MISP, versiones anteriores a 2.4.166 y 2.4.167.

Descripción:

Los investigadores, Jakub Onderka y Dawid Czarnecki, han reportado 2 vulnerabilidades críticas de inyección SQL que afectan a MISP, cuya explotación podría permitir a un usuario, no autenticado, la ejecución de consultas SQL arbitrarias.

Solución:

Actualizar MISP a las versiones 2.4.166 o 2.4.167 para solucionar estas vulnerabilidades.

Detalle:

  • Los usuarios podían proporcionar un ordenamiento de campos personalizado para ciertos endpoints, como RestSearch, utilizando parámetros URL con el formato /order:field_name. Sin embargo, el parámetro “order” de la función find() de CakePHP no era seguro contra un SQLi y, por lo tanto, se ha introducido una lista de campos permitidos para cualquier aparición de campos de orden personalizados. Se ha asignado el identificador CVE-2022-48329 para esta vulnerabilidad.
  • El componente CRUD podría permitir pasar parámetros de búsqueda personalizados, y mientras que los valores de búsqueda son seguros contra un SQLi, los propios nombres de campo no lo son. Con algunas peticiones falsas especialmente diseñadas, se podrían vulnerar, por lo que se ha pasado a permitir el listado de estos nombres de campo. Se ha asignado el identificador CVE-2022-48328 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.