Разработчики платформы для обмена информацией об угрозах MISP (Malware Information Sharing Platform) выпустили обновления, устраняющие шесть уязвимостей, четыре из которых получили оценку критической степени опасности по шкале CVSS v4. Наибольший риск связан с возможностью удалённого выполнения кода (RCE) через манипуляции с логами и конфигурационными файлами, а также с многочисленными проблемами авторизации, позволявшими аутентифицированным пользователям модифицировать или удалять данные других организаций.
Детали уявзимостей
Наиболее масштабная группа уязвимостей, объединённая под идентификатором CVE-2026-56422 (CVSS 9.4), затрагивает механизмы обработки первичных и внешних ключей, которые ядро MISP принимало из запросов клиента. Как поясняется в описании бюллетеня, при создании или редактировании объектов приложение не проверяло, какие идентификаторы записей (id, event_id, org_id, user_id и другие) передаёт пользователь. В результате аутентифицированный участник, имеющий доступ к одному разрешённому объекту, мог подставить в REST-запросе или форме идентификатор другого объекта - и операция выполнялась уже над ним. Это открывало путь к перезаписи чужих данных, переносу права собственности на события или группы, а также внедрению вредоносного содержимого в контекст другого пользователя. Исправление включает принудительное удаление клиентских первичных ключей при создании, повторную привязку идентификаторов перед сохранением и внедрение централизованного компонента CRUD, который блокирует подмену целевой записи.
Две другие проблемы авторизации получили идентификаторы CVE-2026-56423 (критическая, 9.4) и CVE-2026-56424 (высокая, 7.1). Первая касается массового удаления отчётов о событиях (Event Reports) и групп обмена (Sharing Groups). В коде контроллеров проверка прав выполнялась на уровне глобальной роли (perm_add или perm_sharing_group), а не для каждого выбранного объекта. Например, пользователь с правами contributor мог отправить список UUID чужих отчётов и удалить их без какой-либо дополнительной проверки. Исправление заменило общую авторизацию на вызов методов, проверяющих принадлежность каждого элемента. Вторая уязвимость включает несколько схожих недочётов в разных подсистемах: удаление тегов из отчётов, массовое удаление элементов коллекций, редактирование шаблонов и моделей распада (Decaying Model). Везде проверка выполнялась на основе идентификатора, совпадающего с записью, а не с родительским объектом, что позволяло пользователю одной организации изменять элементы другой. Патчи добавили явные проверки владения для каждой операции.
Особую опасность представляет возможность удалённого выполнения кода с правами процесса веб-сервера, связанная с ведением логов в формате NDJSON (CVE-2026-56446, CVSS 8.7). Уязвимость заключается в том, что администратор сайта мог указать произвольный путь в файловой системе для записи лога ошибок JSonLogTool. Поскольку содержимое лога может содержать данные, контролируемые пользователем (например, ошибочные запросы с внедрённым PHP-кодом), атакующий с правами администратора мог направить лог в PHP-файл, лежащий в веб-доступной директории. При обращении к этому файлу интерпретатор PHP выполнял внедрённый код. В обновлении список разрешённых каталогов ограничен APP/tmp/logs и /var/log, введено требование абсолютных путей, запрещены потоковые обёртки и пути с обходом директорий, а допустимые расширения сужены до .log и .ndjson.
Схожая по смыслу уязвимость CVE-2026-56447 (критическая, 9.3) затрагивает настройку параметров библиотеки rdkafka для интеграции с Apache Kafka. Администратор мог указать произвольный путь к INI-файлу конфигурации, который затем передавался rdkafka. Злоумышленник, имеющий возможность записывать файлы в пределах MISP (через загрузку вложений или административные изображения), мог создать INI-файл с параметром plugin.library.paths, заставляющим rdkafka загрузить внешнюю библиотеку. Таким образом достигалось выполнение произвольного кода от имени процесса MISP. Исправление предписывает хранить конфигурационные INI-файлы только в утверждённых директориях, расположенных за пределами веб-корня и каталогов загрузки.
Наконец, уязвимость CVE-2026-56425 (критическая, 9.3) затрагивает реализацию аутентификации через Azure Active Directory на основе протокола OAuth 2.0. В ней выявлено сразу несколько проблем. Параметр state в запросах OAuth использовал идентификатор PHP-сессии (session_id). Поскольку это долгоживущий токен аутентификации, он мог быть раскрыт через историю браузера, HTTP-заголовок Referer, логи прокси-серверов или сторонние сервисы, участвующие в аутентификации. При утечке злоумышленник получал возможность захвата сессии. Кроме того, после успешной аутентификации идентификатор сессии не менялся, что оставляло платформу уязвимой к фиксации сессии (session fixation): атакующий мог заставить жертву использовать известный ему идентификатор до входа, а затем применить его после аутентификации. Дополнительно отсутствовала принудительная проверка HTTPS для redirect-URI, что могло приводить к передаче кодов авторизации и токенов в открытом виде. В обновлении введён криптостойкий случайный параметр state, одноразовая проверка этого параметра, ротация идентификатора сессии после входа, принудительное использование HTTPS и санитизация логов для OAuth-ошибок.
Платформа MISP широко применяется в секторе кибербезопасности: её используют команды SOC, CERT, правоохранительные органы и аналитики для обмена данными об угрозах в реальном времени. Компрометация такой системы может привести к утечке закрытых индикаторов компрометации, нарушению доверия между участниками сообщества и фальсификации разведывательных данных. Учитывая, что для эксплуатации нескольких критических уязвимостей требовались лишь минимальные права аутентифицированного пользователя (например, contributor), риск массового поражения существующих инсталляций до выхода патча был высок.
Всем администраторам MISP настоятельно рекомендуется установить последнюю версию платформы, в которой устранены перечисленные проблемы. Обновление включает серверную валидацию всех ключевых полей, строгие проверки авторизации для каждой операции, ограничения на пути к логам и конфигурациям, а также усиление реализации OAuth-аутентификации. В качестве временной меры защиты до применения патча следует ограничить круг пользователей с административными правами и, по возможности, отключить интеграцию с Kafka, если она не требуется.
Выпуск крупного набора исправлений в MISP подтверждает общую тенденцию ужесточения контроля над операциями с данными в платформах обмена угрозами - особенно в части предотвращения межорганизационных изменений и внедрения кода через неочевидные векторы, такие как настройки логирования или конфигурации внешних библиотек.
Ссылки
- https://github.com/advisories/GHSA-3vhv-jx5j-gj6p
- https://github.com/advisories/GHSA-7v9f-64q7-x2jg
- https://github.com/advisories/GHSA-834x-pvxg-xh58
- https://github.com/advisories/GHSA-ch28-mjgc-m4wr
- https://github.com/advisories/GHSA-MF7V-X7R6-FQ57
- https://github.com/advisories/GHSA-r3v6-qw6x-wf6h
