| タイトル | citeumのopenctiにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | OpenCTIは、サイバー脅威インテリジェンスの知識と観測情報を管理するオープンソースプラットフォームです。7.260227.0以前のバージョンには、メールメッセージの観測データ本文のレンダリング時にXSSの脆弱性があります。本文フィールドの内容が適切にサニタイズされずにレンダリングされるためです。ユーザーの操作が必要ですが、stixやいずれかのインジェスターを共有する人物によって悪用される可能性があります。これによりCSRFが発生し、大規模なセッション乗っ取りが起こる恐れがあります。バージョン7.260227.0で修正されています。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月2日0:00 |
| 登録日 | 2026年6月8日12:31 |
| 最終更新日 | 2026年6月8日12:31 |
| CVSS3.0 : 警告 | |
| スコア | 6.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| citeum |
| opencti 7.260227.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月08日] 掲載 |
2026年6月8日12:31 |
| 概要 | OpenCTI is an open source platform for managing cyber threat intelligence knowledge and observables. Versions prior to 7.260227.0 are vulnerable to XSS in the rendering of email-message observable body data. The content of the body field isn't appropriately sanitized when being rendered. Does require user interaction but could be exploited by someone sharing stix or any of the ingester. This could lead to CSRF and then large scale session theft. Version 7.260227.0 contains a fix. |
|---|---|
| 公表日 | 2026年6月3日7:16 |
| 登録日 | 2026年6月4日4:16 |
| 最終更新日 | 2026年6月5日22:07 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:citeum:opencti:*:*:*:*:*:*:*:* | 7.260227.0 | ||||