CVE-2024-37155

Versões do OpenCTI anteriores à 6.1.9

A vulnerabilidade permite que um invasor contorne a validação por expressão regular usada para impedir consultas de introspecção no OpenCTI, removendo espaços em branco, caracteres de retorno de carro e avanço de linha da consulta. Isso pode ser feito explorando o secureIntrospectionPlugin em consultas GraphQL. Especificamente, a verificação de expressão regular pode ser contornada removendo os caracteres de retorno de carro e avanço de linha (r ). Isso permite que um usuário não autenticado execute uma consulta de introspecção completa, coletando informações sobre a funcionalidade do endpoint GraphQL que podem ser usadas para realizar ações não autorizadas ou ler dados. Além disso, essas consultas podem ser usadas para realizar um ataque de Negação de Serviço (DoS) se enviadas repetidamente.

Para versões anteriores à 6.1.9, atualize para a versão 6.1.9 para receber um patch para o problema. Como solução temporária, considere restringir o acesso ao secureIntrospectionPlugin até que o patch seja aplicado. Evite usar o secureIntrospectionPlugin sem validação adequada para minimizar o risco de exploração.