MISP事件报告本地标签功能权限问题分析

问题概述

在MISP开源威胁情报平台中，发现了一个关于事件报告(Event Report)本地标签功能的权限控制问题。当非站点管理员(non site-admin)但属于主机组织(host org)的用户尝试为其他组织创建的事件报告添加本地标签时，该功能无法正常工作。相比之下，同一用户对事件(Event)和属性(Attribute)的本地标签功能则表现正常。

技术背景

MISP平台中的标签系统分为两种类型：

1. 全局标签(Global Tags)：对所有用户和组织可见
2. 本地标签(Local Tags)：仅对创建者及其组织可见

正常情况下，主机组织成员应具备为其他组织创建的内容添加本地标签的权限，这是MISP共享协作模型的重要组成部分。

问题表现

具体问题表现为：

1. 功能失效：非管理员的主机组织成员无法为其他组织的事件报告添加本地标签
2. 界面显示异常：系统错误地显示了全局标签按钮，而实际上用户不应具备添加全局标签的权限

影响范围

该问题影响：

• MISP 2.4.200版本
• 所有使用PHP 7.4及类似环境的系统
• 主要影响主机组织中的非管理员用户

解决方案

该问题已被确认为权限验证逻辑缺陷，修复方案涉及对事件报告标签功能的权限检查机制进行调整。核心修复点包括：

1. 修正本地标签功能的权限验证逻辑
2. 移除不应显示的全局标签按钮
3. 确保事件报告与事件、属性在权限控制上的一致性

最佳实践建议

对于MISP管理员和用户，建议：

1. 及时更新到包含修复的版本
2. 定期检查用户权限设置是否符合预期
3. 对于自定义开发的功能，确保与核心功能的权限模型保持一致
4. 在测试环境中验证标签功能对所有用户类型的可用性

该修复确保了MISP平台中协作功能的一致性和可靠性，维护了主机组织成员应有的权限级别，同时保持了平台的安全边界。