CVE-2024-37155
OpenCTI May Bypass Introspection Restriction
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
0Exploited in Wild
-Decision
Descriptions
OpenCTI is an open source platform allowing organizations to manage their cyber threat intelligence knowledge and observables. Prior to version 6.1.9, the regex validation used to prevent Introspection queries can be bypassed by removing the extra whitespace, carriage return, and line feed characters from the query. GraphQL Queries in OpenCTI can be validated using the `secureIntrospectionPlugin`. The regex check in the plkugin can be bypassed by removing the carriage return and line feed characters (`\r
`). Running a curl command against a local instance of OpenCTI will result in a limited error message. By running the same Introspection query without the `\r
` characters, the unauthenticated user is able to successfully run a full Introspection query. Bypassing this restriction allows the attacker to gather a wealth of information about the GraphQL endpoint functionality that can be used to perform actions and/or read data without authorization. These queries can also be weaponized to conduct a Denial of Service (DoS) attack if sent repeatedly. Users should upgrade to version 6.1.9 to receive a patch for the issue.
OpenCTI es una plataforma de código abierto que permite a las organizaciones gestionar su conocimiento y observables de inteligencia sobre amenazas cibernéticas. Antes de la versión 6.1.9, la validación de expresiones regulares utilizada para evitar las consultas de introspección se puede omitir eliminando los espacios en blanco adicionales, los retornos de carro y los caracteres de avance de línea de la consulta. Las consultas GraphQL en OpenCTI se pueden validar utilizando `secureIntrospectionPlugin`. La comprobación de expresiones regulares en plkugin se puede omitir eliminando los caracteres de retorno de carro y avance de línea (`\r
`). La ejecución de un comando curl contra una instancia local de OpenCTI dará como resultado un mensaje de error limitado. Al ejecutar la misma consulta de introspección sin los caracteres `\r
`, el usuario no autenticado puede ejecutar con éxito una consulta de introspección completa. Omitir esta restricción permite al atacante recopilar una gran cantidad de información sobre la funcionalidad del punto final de GraphQL que se puede utilizar para realizar acciones o leer datos sin autorización. Estas consultas también pueden utilizarse como arma para llevar a cabo un ataque de denegación de servicio (DoS) si se envían repetidamente. Los usuarios deben actualizar a la versión 6.1.9 para recibir un parche para solucionar el problema.
CVSS Scores
SSVC
- Decision:Attend
Timeline
- 2024-06-03 CVE Reserved
- 2024-11-18 CVE Published
- 2024-11-18 CVE Updated
- 2024-11-19 EPSS Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
- ---------- First Exploit
CWE
- CWE-284: Improper Access Control
CAPEC
References (3)
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| OpenCTI-Platform Search vendor "OpenCTI-Platform" | Opencti Search vendor "OpenCTI-Platform" for product "Opencti" | < 6.1.9 Search vendor "OpenCTI-Platform" for product "Opencti" and version " < 6.1.9" | en |
Affected
| ||||||