Vulnerabilidad en OpenCTI (CVE-2024-37155)

OpenCTI es una plataforma de código abierto que permite a las organizaciones gestionar su conocimiento y observables de inteligencia sobre amenazas cibernéticas. Antes de la versión 6.1.9, la validación de expresiones regulares utilizada para evitar las consultas de introspección se puede omitir eliminando los espacios en blanco adicionales, los retornos de carro y los caracteres de avance de línea de la consulta. Las consultas GraphQL en OpenCTI se pueden validar utilizando `secureIntrospectionPlugin`. La comprobación de expresiones regulares en plkugin se puede omitir eliminando los caracteres de retorno de carro y avance de línea (`\r\n`). La ejecución de un comando curl contra una instancia local de OpenCTI dará como resultado un mensaje de error limitado. Al ejecutar la misma consulta de introspección sin los caracteres `\r\n`, el usuario no autenticado puede ejecutar con éxito una consulta de introspección completa. Omitir esta restricción permite al atacante recopilar una gran cantidad de información sobre la funcionalidad del punto final de GraphQL que se puede utilizar para realizar acciones o leer datos sin autorización. Estas consultas también pueden utilizarse como arma para llevar a cabo un ataque de denegación de servicio (DoS) si se envían repetidamente. Los usuarios deben actualizar a la versión 6.1.9 para recibir un parche para solucionar el problema.