CVE-2026-54394— MISP 组织Logo路径遍历漏洞可读取任意PNG/SVG文件
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-54394 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
MISP organisation logo path traversal allows retrieval of arbitrary PNG/SVG files
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
MISP contains a path traversal vulnerability in OrganisationsController::getOrgLogo. The vulnerable code builds organisation logo file paths using organisation-controlled fields such as id, name, and uuid without ensuring that the resolved file remains inside the intended APP/files/img/orgs/ directory. An attacker able to influence an organisation field, for example the organisation name, could use path traversal sequences to cause MISP to return arbitrary readable .png or .svg files from outside the organisation logo directory. The issue is fixed by resolving candidate paths with realpath() and verifying that they remain under the expected base directory before serving the file.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
对路径名的限制不恰当(路径遍历)
来源: 美国国家漏洞数据库 NVD
受影响产品
二、漏洞 CVE-2026-54394 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-54394 的情报信息
请登录查看更多情报信息。
CVE-2026-54394 补丁与修复 (1)
同批安全公告 · misp · 2026-06-12 · 共 12 条
| CVE-2026-54358 | MISP 组织管理员可重置站点管理员密码 | |
| CVE-2026-54362 | MISP模板构建器跨组织泄露不可见自定义星系 | |
| CVE-2026-54359 | MISP自动化端点CSRF漏洞 | |
| CVE-2026-54398 | MISP 对象编辑授权绕过导致未授权共享组分配漏洞 | |
| CVE-2026-54396 | MISP AuthKey编辑端点允许已认证用户枚举邮箱 | |
| CVE-2026-54357 | MISP 组织管理员可越权修改站点管理员设置漏洞 | |
| CVE-2026-54393 | MISP Overmind主题未验证首页设置导致存储型XSS漏洞 | |
| CVE-2026-54395 | MISP UiBeta 事件索引高级过滤弹窗反射型 XSS 漏洞 | |
| CVE-2026-54397 | MISP 事件编辑允许未授权分配至未公开共享组 | |
| CVE-2026-54360 | MISP 共享组创建允许未授权接管 | |
| CVE-2026-54361 | MISP 存在越权修改所有权与委托记录的漏洞 |
IV. Related Vulnerabilities
V. Comments for CVE-2026-54394
暂无评论