CVE-2026-39980
CriticalSummary
OpenCTI to otwartoźródłowa platforma do zarządzania wiedzą o zagrożeniach cybernetycznych. W wersjach przed 6.9.5 plik safeEjs.ts nieprawidłowo sanitizuje szablony EJS, co pozwala użytkownikom z uprawnieniami do zarządzania dostosowaniami na uruchamianie dowolnego kodu JavaScript w kontekście procesu platformy OpenCTI podczas wykonywania szablonów powiadomień.
Risk Assessment
Wykorzystanie tej podatności może prowadzić do uruchomienia złośliwego kodu, co stwarza poważne zagrożenie dla integralności i bezpieczeństwa systemu. Organizacje mogą być narażone na ataki, które mogą prowadzić do wycieku danych lub przejęcia kontroli nad systemem.
Recommendation
Zaleca się aktualizację do wersji 6.9.5 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników, aby ograniczyć dostęp do funkcji zarządzania dostosowaniami.
Original NVD description (English source)
OpenCTI is an open source platform for managing cyber threat intelligence knowledge and observables. Prior to 6.9.5, the safeEjs.ts file does not properly sanitize EJS templates. Users with the Manage customization capability can run arbitrary JavaScript in the context of the OpenCTI platform process during notifier template execution. This vulnerability is fixed in 6.9.5.

