CVE-2026-39980
KrytyczneStreszczenie
OpenCTI to otwartoźródłowa platforma do zarządzania wiedzą o zagrożeniach cybernetycznych. W wersjach przed 6.9.5 plik safeEjs.ts nieprawidłowo sanitizuje szablony EJS, co pozwala użytkownikom z uprawnieniami do zarządzania dostosowaniami na uruchamianie dowolnego kodu JavaScript w kontekście procesu platformy OpenCTI podczas wykonywania szablonów powiadomień.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do uruchomienia złośliwego kodu, co stwarza poważne zagrożenie dla integralności i bezpieczeństwa systemu. Organizacje mogą być narażone na ataki, które mogą prowadzić do wycieku danych lub przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację do wersji 6.9.5 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników, aby ograniczyć dostęp do funkcji zarządzania dostosowaniami.
Oryginalny opis (angielski, źródło NVD)
OpenCTI is an open source platform for managing cyber threat intelligence knowledge and observables. Prior to 6.9.5, the safeEjs.ts file does not properly sanitize EJS templates. Users with the Manage customization capability can run arbitrary JavaScript in the context of the OpenCTI platform process during notifier template execution. This vulnerability is fixed in 6.9.5.

