Het kritieke CVE-2025-46732 kwetsbaarheid in de GraphQL-interface van OpenCTI laat geauthenticeerde gebruikers toe meldingen van andere gebruikers te wijzigen of te verwijderen. Deze kwetsbaarheid, geïdentificeerd als een ‘Improper Authorization’ probleem (CWE-285), treft OpenCTI-versies onder 6.6.6.
Door misbruik van deze IDOR-kwetsbaarheid kunnen aanvallers toegang krijgen tot meldingen door eenvoudigweg de UUID van een melding te kennen. Dit betekent dat een aanvaller zonder medeweten van de oorspronkelijke ontvanger meldingen kan lezen of verwijderen.
Overzicht
OpenCTI is een open-source platform voor het beheren van cyberdreigingsinformatie en observables. Bij versies onder 6.6.6 kan de fout in de GraphQL-mutatiefuncties NotificationLineNotificationMarkReadMutation en NotificationLineNotificationDeleteMutation een geauthenticeerde gebruiker in staat stellen de leesstatus te wijzigen of meldingen van andere gebruikers te verwijderen.
Aanbevelingen
- Update OpenCTI naar versie 6.6.6 of hoger om deze kwetsbaarheid te verhelpen.
- Monitor meldingen voor ongeoorloofde wijzigingen of verwijderingen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-46732?
Dit is een kwetsbaarheid in OpenCTI die verkeerde autorisatie toestaat, wat gebruikers in staat stelt meldingen van anderen te bekijken of te verwijderen als ze de UUID kennen.
Welke systemen zijn kwetsbaar voor CVE-2025-46732?
Alle systemen met OpenCTI-versies lager dan 6.6.6 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 6.6.6 bevat de oplossing voor deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
De aanvaller kan de leesstatus van meldingen wijzigen en meldingen van andere gebruikers verwijderen zonder medeweten van de eigenaar.
