今日重點:這 8 則高風險漏洞都影響 MISP,若你的團隊有架設或維護 MISP,請優先確認版本並升級到已修正版本。
CVE-2018-12649(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.92。漏洞出在 app/Controller/UsersController.php 的登入流程:暴力破解防護只涵蓋 POST 請求,攻擊者可改用 PUT HTTP method 繞過防護。
該做什麼
如果你仍在使用 MISP 2.4.92,請立即升級到包含修補的版本。維護 MISP 登入相關設定時,也要確認登入端點的防暴力破解保護不是只套用在單一 HTTP method。
CVE-2020-15411(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.128。漏洞出在 app/Controller/AttributesController.php 的附件下載功能,ACL 權限檢查不足,可能讓不該取得附件的人通過下載流程。
該做什麼
如果你的 MISP 版本是 2.4.128,請升級到包含修補的版本。若你有開放附件下載功能,應優先檢查是否已更新。
CVE-2020-29006(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.135 以前版本。漏洞與 app/Controller/GalaxyElementsController.php、app/Model/GalaxyElement.php 有關,缺少 ACL 權限檢查。
該做什麼
請將 MISP 升級到 2.4.135 或更新版本。若你的團隊有使用 Galaxy Elements 相關功能,這項更新應優先處理。
CVE-2021-39302(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.148 的特定設定。漏洞出在 app/Model/Log.php,$conditions['org'] 值可能造成 SQL injection。
該做什麼
如果你使用 MISP 2.4.148,請確認是否已套用官方修補。由於這與 Log 查詢條件有關,維護者應優先升級,而不是只靠調整前端或權限設定。
CVE-2021-41326(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.148 以前版本。漏洞出在 app/Lib/Export/OpendataExport.php,該檔案處理會被用於 shell_exec 的參數資料時不安全。
該做什麼
請將 MISP 升級到 2.4.148 或更新版本。如果你有使用 Opendata Export 功能,請優先更新,並避免在未修補版本上開放相關匯出流程。
CVE-2022-48328(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.167 以前版本。漏洞出在 app/Controller/Component/IndexFilterComponent.php,與 ordered_url_params 和 additional_delimiters 的處理方式有關。
該做什麼
請將 MISP 升級到 2.4.167 或更新版本。如果你的 MISP 有提供索引、篩選或 URL 參數查詢相關功能,請不要停留在 2.4.166 或更舊版本。
CVE-2022-48329(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.166 以前版本。漏洞與使用者可不安全地使用 order 參數有關,涉及 app/Model/Attribute.php、app/Model/GalaxyCluster.php、app/Model/Workflow.php、app/Plugin/Assets/models/behaviors/LogableBehavior.php。
該做什麼
請將 MISP 升級到 2.4.166 或更新版本。若你有 API、列表排序、工作流程或 Galaxy Cluster 相關使用情境,請優先確認版本。
CVE-2023-50918(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.182 以前版本。漏洞出在 app/Controller/AuditLogsController.php,audit logs 的 ACL 處理不正確。
該做什麼
請將 MISP 升級到 2.4.182 或更新版本。若你的團隊仰賴 audit logs 追蹤操作紀錄,應優先修補,避免未授權存取稽核資料。
資料來源:NVD
- https://nvd.nist.gov/vuln/detail/CVE-2018-12649
- https://nvd.nist.gov/vuln/detail/CVE-2020-15411
- https://nvd.nist.gov/vuln/detail/CVE-2020-29006
- https://nvd.nist.gov/vuln/detail/CVE-2021-39302
- https://nvd.nist.gov/vuln/detail/CVE-2021-41326
- https://nvd.nist.gov/vuln/detail/CVE-2022-48328
- https://nvd.nist.gov/vuln/detail/CVE-2022-48329
- https://nvd.nist.gov/vuln/detail/CVE-2023-50918
推薦閱讀
資安快訊:今日重要 CVE(2026-06-17)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-44170、CVE-2026-44172
資安快訊:今日重要 CVE(2026-06-19)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-12293、CVE-2026-49268
資安快訊:今日重要 CVE(2026-06-20)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-7515、CVE-2026-8713
資安快訊:今日重要 CVE(2026-06-21)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2019-25763、CVE-2022-50972
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...