Katalog CVE

CVE-2026-39980

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenCTI to otwartoźródłowa platforma do zarządzania wiedzą o zagrożeniach cybernetycznych. W wersjach przed 6.9.5 plik safeEjs.ts nieprawidłowo sanitizuje szablony EJS, co pozwala użytkownikom z uprawnieniami do zarządzania dostosowaniami na uruchamianie dowolnego kodu JavaScript w kontekście procesu platformy OpenCTI podczas wykonywania szablonów powiadomień.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do uruchomienia złośliwego kodu, co stwarza poważne zagrożenie dla integralności i bezpieczeństwa systemu. Organizacje mogą być narażone na ataki, które mogą prowadzić do wycieku danych lub przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację do wersji 6.9.5 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników, aby ograniczyć dostęp do funkcji zarządzania dostosowaniami.

Oryginalny opis (angielski, źródło NVD)

OpenCTI is an open source platform for managing cyber threat intelligence knowledge and observables. Prior to 6.9.5, the safeEjs.ts file does not properly sanitize EJS templates. Users with the Manage customization capability can run arbitrary JavaScript in the context of the OpenCTI platform process during notifier template execution. This vulnerability is fixed in 6.9.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS