MISP 2.4.175 SQL注入漏洞(CVE-2023-48657/48658)及修复

关键漏洞信息 日期: 2023年9月13日 受影响的供应商: CIRCL – Computer Incident Response Center Luxembourg 受影响的产品: MISP – Malware Information Sharing Platform & Open Standards For Threat Information Sharing (https://www.misp-project.org/) 易受攻击的版本: 2.4.175 修复版本: 2.4.176 CVSS 分数: 7.2 高 (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H) 推荐措施: 升级到最近的 MISP 版本 漏洞详情: - 在某些端点中，请求 POST body 参数中的一个关键插入到 SQL 查询中，没有适当的转义或验证。经过身份验证的攻击者可以利用此漏洞进行基于时间的 SQL 注入攻击，从而获得数据库中的各种信息，包括密码哈希、API 密钥等。 CVE: - CVE-2023-48657 - CVE-2023-48658 发现者: Dawid Czarnecki 参考资料: - CVE-2023-48657: - https://cvepremium.circl.lu/cve/CVE-2023-48657 - https://github.com/MISP/MISP/compare/v2.4.175...v2.4.176 - https://github.com/MISP/MISP/commit/08bd23281ead288de678de666ef43ed6de1899fc - CVE-2023-48658: - https://cvepremium.circl.lu/cve/CVE-2023-48658 - https://github.com/MISP/MISP/compare/v2.4.175...v2.4.176 - https://github.com/MISP/MISP/commit/168621521b57b2437331174186f84a6aa3e71f0d

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

MISP 2.4.175 SQL注入漏洞(CVE-2023-48657/48658)及修复

目标达成感谢每一位支持者 — 我们达成了 100% 目标！