Plataforma
python
Componente
opencti
Corregido en
6.5.3
6.5.2
CVE-2025-26621 describe una vulnerabilidad de Denegación de Servicio (DoS) en OpenCTI, una plataforma de gestión de inteligencia de amenazas cibernéticas. Un atacante con capacidad para gestionar personalizaciones puede editar webhooks, permitiendo la ejecución de código JavaScript malicioso. Esto puede provocar la indisponibilidad del servidor Node.js que ejecuta el frontend de OpenCTI, afectando a versiones anteriores a 6.5.2. La vulnerabilidad ha sido solucionada en la versión 6.5.2.
La explotación de esta vulnerabilidad permite a un atacante causar una denegación de servicio significativa en la plataforma OpenCTI. Al editar un webhook y ejecutar código JavaScript malicioso, el atacante puede provocar una contaminación de prototipos, lo que lleva a la inestabilidad y eventual fallo del servidor Node.js que aloja el frontend de OpenCTI. Esto interrumpe la capacidad de los usuarios para acceder a la plataforma y gestionar la inteligencia de amenazas, impactando potencialmente en las operaciones de seguridad de la organización. La severidad del impacto depende de la criticidad de OpenCTI dentro de la infraestructura de seguridad de la organización.
Esta vulnerabilidad ha sido publicada el 19 de mayo de 2025. No se ha añadido a KEV en el momento de la redacción. La probabilidad de explotación se considera moderada, dado que requiere acceso a la funcionalidad de gestión de personalizaciones en OpenCTI. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (inyección de JavaScript) la hace susceptible a la explotación si se descubre un PoC.
Organizations heavily reliant on OpenCTI for threat intelligence management are at significant risk. Specifically, deployments where multiple users have permissions to manage customizations, or where webhook integrations are not properly secured, are particularly vulnerable. Shared hosting environments running OpenCTI also pose a higher risk due to the potential for cross-tenant attacks.
• nodejs: Monitor OpenCTI logs for errors related to prototype pollution or unexpected crashes in the Node.js process. Use journalctl -u opencti to filter for relevant error messages.
• nodejs: Use ps aux | grep node to monitor Node.js processes and check for unusual CPU or memory usage that might indicate an ongoing attack.
• generic web: Examine OpenCTI access logs for unusual webhook requests or attempts to modify webhook configurations from unauthorized IP addresses. Use grep -i webhook /var/log/nginx/access.log (adjust path as needed).
• generic web: Review OpenCTI error logs for any JavaScript errors or exceptions related to prototype pollution. Check /var/log/opencti/error.log (adjust path as needed).
disclosure
Estado del Exploit
EPSS
0.73% (72% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-26621 es actualizar OpenCTI a la versión 6.5.2 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda restringir los permisos de gestión de personalizaciones a usuarios de confianza. Implementar una validación estricta de la entrada del webhook puede ayudar a prevenir la inyección de código malicioso. Monitorear los logs del servidor Node.js en busca de patrones inusuales de consumo de recursos o errores relacionados con la contaminación de prototipos puede ayudar a detectar la explotación. Después de la actualización, confirme la mitigación revisando los logs del sistema y verificando que los webhooks no puedan ser modificados por usuarios no autorizados.
Actualice OpenCTI a la versión 6.5.2 o superior. Esta versión corrige la vulnerabilidad de denegación de servicio causada por la manipulación de webhooks. La actualización evitará que usuarios malintencionados ejecuten código JavaScript que pueda afectar la disponibilidad del servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-26621 is a denial-of-service vulnerability in OpenCTI versions prior to 6.5.2. Attackers can exploit prototype pollution through webhook customization to crash the frontend.
You are affected if you are running OpenCTI version 6.5.2 or earlier. Immediately assess your deployment and apply the necessary mitigation.
Upgrade OpenCTI to version 6.5.2 or later. Restrict access to webhook customization and implement input validation as temporary measures.
There is currently no evidence of active exploitation in the wild, but it's crucial to apply the patch proactively.
Refer to the OpenCTI security advisories page on their official website for the latest information and updates regarding CVE-2025-26621.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.