漏洞关键信息总结 漏洞概述 Stored XSS in attributes of type link: 链接类型属性中存在存储型 XSS 漏洞。 LDAP injection: 当 未设置为 时,LDAP 搜索过滤器中的未清理用户名会导致 LDAP 注入漏洞。 Overmind XSS fixes: Overmind 主题视图中存在多个 XSS 问题。 Sensitive server settings: 敏感服务器设置(如 )在数据库中加密时会导致错误。 影响范围 所有使用链接类型属性的 MISP 实例。 使用代理设置且 header 可由用户控制的 LDAP 环境。 使用 Overmind 主题视图的用户。 配置了敏感服务器设置的实例。 修复方案 修复了链接类型属性中的 XSS 漏洞。 修复了 LDAP 搜索过滤器中的未清理用户名问题。 在发送给 LDAP 之前对用户输入进行了额外的清理。 修复了 Overmind 主题视图中的多个 XSS 问题。 阻止从 DB 存储中获取敏感设置( , , )。 修复了 ACL 权限。 修复了索引列设置验证。 更新了 , , 子模块至最新版本。 修复了安装过程中的 OpenSSL 使用顺序问题。 POC/利用代码 截图中未包含具体的 POC 代码或利用代码。