
تاریخچه:
- 21/02/2023 – نسخه 1.0 – انتشار اولیه
خلاصه
فوریه 2023، تیم پروژه MISP توصیهنامههایی را درباره دو آسیبپذیری حیاتی تزریق کد SQL در پلتفرم هوش تهدید و اشتراک MISP منتشر کردند. این تیم تصمیم گرفت که فرایند رفع آسیبپذیری را در سکوت دنبال کند و در ماههای نوامبر و دسامبر 2022 چند بهروزرسانی منتشر کرد تا کاربران فرصت کافی برای نصب نسخههای امن داشته باشند.
جزئیات فنی
- CVE-2022-48329
پلتفرم MISP به کاربران امکان میداد تا برای نقاط پایانی خاصی مثل RestSearch، ترتیب فیلدها را سفارشیسازی کنند. این ترتیب با استفاده از پارامترهای URL و با قالب order:field_name/ مشخص میشد. اما پارامتر order از تابع ()CakePHP find از نظر SQLi (تزریق SQL) امن نیست در نتیجه تیم پروژه MISP قابلیت لیست مجاز را برای فیلدها معرفی کردند که وجود فیلدهایی با ترتیب خاص را کنترل میکند.
هیچ یک از مرتبسازیهایی که از sort:field_name/direction:asc|desc/ استفاده میکنند، تحت تأثیر این آسیبپذیری قرار ندارند.
- CVE-2022-48328
بخش CRUD از پلتفرم MISP امکان ارسال پارامترهایی سفارشی را برای جستجو فراهم میکند و گرچه مقادیر جستجو از نظر SQLi امن هستند و به خوبی پاکسازی شدهاند اما نام خود فیلدها این شرایط را ندارند. امکان سوءاستفاده از این شرایط با طراحی درخواستهایی هوشمندانه وجود دارد.
محصولات تحت تأثیر این آسیبپذیریها عبارتند از:
- CVE-2022-48329:
- MISP پیش از نسخه 2.4.166؛
- CVE-2022-48328:
- MISP پیش از نسخه 2.4.167
توصیهها
از آنجا که تیم پروژه نسخه 2.4.167 را در تاریخ 22 دسامبر سال 2022 منتشر کرده، انتظار میرود که بیشتر نمونههای MISP امن باشند. با این وجود CERT-EU توصیه کرده که نسخه نمونههای در حال اجرای MISP بررسی شده و در اسرع وقت، در صورت امکان پلتفرم هوش تهدید و اشتراک MISP به جدیدترین نسخه بهروزرسانی شود.