citeumのopenctiにおけるクロスサイトスクリプティングの脆弱性
| Title |
citeumのopenctiにおけるクロスサイトスクリプティングの脆弱性
|
| Summary |
OpenCTIは、サイバー脅威インテリジェンスの知識と観測情報を管理するオープンソースプラットフォームです。7.260227.0以前のバージョンには、メールメッセージの観測データ本文のレンダリング時にXSSの脆弱性があります。本文フィールドの内容が適切にサニタイズされずにレンダリングされるためです。ユーザーの操作が必要ですが、stixやいずれかのインジェスターを共有する人物によって悪用される可能性があります。これによりCSRFが発生し、大規模なセッション乗っ取りが起こる恐れがあります。バージョン7.260227.0で修正されています。
|
| Possible impacts |
・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 2, 2026, midnight |
| Registration Date |
June 8, 2026, 12:31 p.m. |
| Last Update |
June 8, 2026, 12:31 p.m. |
|
CVSS3.0 : 警告
|
| Score |
6.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Affected System
| citeum |
|
opencti 7.260227.0 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月08日]
掲載 |
June 8, 2026, 12:31 p.m. |
NVD Vulnerability Information
CVE-2026-35212
| Summary |
OpenCTI is an open source platform for managing cyber threat intelligence knowledge and observables. Versions prior to 7.260227.0 are vulnerable to XSS in the rendering of email-message observable body data. The content of the body field isn't appropriately sanitized when being rendered. Does require user interaction but could be exploited by someone sharing stix or any of the ingester. This could lead to CSRF and then large scale session theft. Version 7.260227.0 contains a fix.
|
| Publication Date |
June 3, 2026, 7:16 a.m. |
| Registration Date |
June 4, 2026, 4:16 a.m. |
| Last Update |
June 5, 2026, 10:07 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:citeum:opencti:*:*:*:*:*:*:*:* |
|
|
|
7.260227.0 |
Related information, measures and tools
Common Vulnerabilities List