opencti
Corregido en
6.4.12
6.4.11
CVE-2025-24977 describe una vulnerabilidad de ejecución remota de código (RCE) en OpenCTI, una plataforma de inteligencia de amenazas cibernéticas (CTI). Esta falla permite a usuarios con la capacidad manage customizations ejecutar comandos en la infraestructura subyacente donde se aloja OpenCTI, y acceder a secretos internos del servidor a través del mal uso de webhooks. La vulnerabilidad afecta a versiones de OpenCTI anteriores a 6.4.11 y ha sido solucionada en la versión 6.4.11.
La gravedad de esta vulnerabilidad radica en que un atacante, una vez que obtenga acceso con los permisos necesarios, puede lograr una ejecución de código arbitraria en el servidor donde se ejecuta OpenCTI. Esto implica la posibilidad de tomar control total de la infraestructura, robar datos sensibles, instalar malware, o realizar ataques de denegación de servicio (DoS). El acceso a secretos del servidor, como contraseñas y claves de API, podría permitir al atacante escalar privilegios y comprometer otros sistemas dentro de la red. La ejecución dentro de un contenedor, como se describe, podría facilitar la evasión de controles de seguridad y la persistencia en el entorno.
Esta vulnerabilidad ha sido publicada el 5 de mayo de 2025. No se ha reportado explotación activa en entornos reales, pero la naturaleza crítica de la vulnerabilidad (CVSS 9.1) y la posibilidad de ejecución remota de código la convierten en un objetivo atractivo para atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación. La vulnerabilidad no figura en el KEV de CISA al momento de esta redacción.
Organizations utilizing OpenCTI for threat intelligence management are at risk, particularly those with lax access controls or shared hosting environments. Deployment patterns where multiple users have elevated privileges within OpenCTI increase the potential attack surface. Legacy OpenCTI installations that have not been regularly patched are also particularly vulnerable.
• python: Monitor OpenCTI logs for unusual command execution attempts, particularly those originating from webhook requests.
# Example: Check for suspicious commands in OpenCTI logs
import re
with open('opencti.log', 'r') as f:
for line in f:
if re.search(r'command:.*(rm -rf|wget|curl)', line):
print(f'Suspicious command detected: {line}')• linux / server: Use journalctl to filter for errors or warnings related to OpenCTI's webhook processing.
journalctl -u opencti -f --grep 'webhook' --grep 'error'• generic web: Monitor access logs for unusual patterns of requests to OpenCTI webhook endpoints. Look for requests with unexpected parameters or payloads.
disclosure
Estado del Exploit
EPSS
0.53% (67% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-24977 es actualizar OpenCTI a la versión 6.4.11 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible debido a problemas de compatibilidad o interrupciones del servicio, se recomienda restringir el acceso a la capacidad manage customizations a un mínimo de usuarios con necesidad real. Implementar controles de acceso estrictos y auditoría de las acciones de los usuarios con estos permisos puede ayudar a detectar y prevenir abusos. Monitorear los logs de OpenCTI en busca de actividades sospechosas, como la ejecución de comandos no autorizados, también es crucial. Se recomienda revisar la configuración de los webhooks para asegurar que no permitan la ejecución de código arbitrario.
Actualice OpenCTI a la versión 6.4.11 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código y exposición de secretos sensibles a través de webhooks. La actualización evitará que usuarios maliciosos con privilegios de gestión de personalizaciones ejecuten comandos en el servidor y accedan a información confidencial.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-24977 is a critical remote code execution vulnerability in OpenCTI versions prior to 6.4.11, allowing attackers with 'manage customizations' to execute commands and access server secrets.
You are affected if you are running OpenCTI version 6.4.11 or earlier. Immediately check your version and upgrade if necessary.
Upgrade OpenCTI to version 6.4.11 or later. Restrict access to the 'manage customizations' role to trusted users only.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high probability of future exploitation.
Refer to the official OpenCTI security advisory on their website or GitHub repository for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.