Con fecha 20 de febrero del 2023, se han reportado 2 vulnerabilidades críticas de inyección SQL que afectan a MISP-Malware Information Sharing Platform, cuya explotación podría permitir a un usuario, no autenticado, la ejecución de consultas SQL arbitrarias.

MISP es una herramienta de código abierto que, como su nombre indica, permite analizar, gestionar y compartir información relacionada con muestras de malware.

La inyección SQL es una vulnerabilidad de seguridad web que permite a un atacante interferir en las consultas que una aplicación realiza a una base de datos. Por lo general, permite que un atacante vea datos que normalmente no se pueden mostrar.

Recursos afectados:

MISP, versiones anteriores a 2.4.166 y 2.4.167.

Solución:

Actualizar MISP a las versiones 2.4.166 o 2.4.167 para solucionar estas vulnerabilidades.

Detalles:

Vulnerabilidad en el parámetro 'order' usado en varias búsquedas:

Los usuarios podían proporcionar un ordenamiento de campos personalizado para ciertos endpoints, como RestSearch, utilizando parámetros URL con el formato /order:field_name. Sin embargo, el parámetro "order" de la función find() de CakePHP no era seguro contra un SQLi y, por lo tanto, se ha introducido una lista de campos permitidos para cualquier aparición de campos de orden personalizados. Se ha asignado el identificador CVE-2022-48329 para esta vulnerabilidad.

Vulnerabilidad en los parámetros de búsqueda de cualquier índice utilizando el componente CRUD:
El componente CRUD podría permitir pasar parámetros de búsqueda personalizados, y mientras que los valores de búsqueda son seguros contra un SQLi, los propios nombres de campo no lo son. Con algunas peticiones falsas especialmente diseñadas, se podrían vulnerar, por lo que se ha pasado a permitir el listado de estos nombres de campo. Se ha asignado el identificador CVE-2022-48328 para esta vulnerabilidad

Referencias:

https://www.misp-project.org/2023/02/20/Critical_SQL_Injection_Vulnerabilities_Fixed.html/