CVE-2022-30290
https://notcve.org/view.php?id=CVE-2022-30290
In OpenCTI through 5.2.4, a broken access control vulnerability has been identified in the profile endpoint. An attacker can abuse the identified vulnerability in order to arbitrarily change their registered e-mail address as well as their API key, even though such action is not possible through the interface, legitimately. En OpenCTI versiones hasta 5.2.4, se identificó una vulnerabilidad de control de acceso roto en el extremo del perfil. Un atacante puede abusar de la vulnerabilidad identificada para cambiar arbitrariamente su dirección de correo electrónico registrada, así como su clave API, aunque tal acción no sea posible por medio de la interfaz, legítimamente • https://github.com/OpenCTI-Platform/opencti/releases https://www.enisa.europa.eu/topics/threat-risk-management/vulnerability-disclosure •
CVE-2022-30289
https://notcve.org/view.php?id=CVE-2022-30289
A stored Cross-site Scripting (XSS) vulnerability was identified in the Data Import functionality of OpenCTI through 5.2.4. An attacker can abuse the vulnerability to upload a malicious file that will then be executed by a victim when they open the file location. Ha sido identificada una vulnerabilidad de tipo Cross-site Scripting (XSS) almacenada en la funcionalidad Data Import de OpenCTI versiones hasta 5.2.4. Un atacante puede abusar de la vulnerabilidad para cargar un archivo malicioso que luego será ejecutado por una víctima cuando abra la ubicación del archivo • https://github.com/OpenCTI-Platform/opencti/releases https://www.enisa.europa.eu/topics/threat-risk-management/vulnerability-disclosure • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •