CVE-2025-61781 CVSS 7.1 高危

CVE-2025-61781: OpenCTI GraphQL授权绕过导致工作区未授权删除漏洞

披露日期: 2026-01-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-61781

漏洞类型

授权绕过/IDOR

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenCTI

漏洞概述

OpenCTI是一个开源平台，用于管理网络威胁情报知识和可观测数据。在6.8.1之前的版本中，GraphQL mutation "WorkspacePopoverDeletionMutation"存在授权绕过漏洞，允许低权限用户通过提供其他用户的工作区UUID来删除任意工作区，包括仪表板和调查案例等关键资源。由于缺少所有权验证，攻击者可以删除其他用户的工作区，造成高可用性影响。

技术细节

漏洞根源在于GraphQL API中的WorkspacePopoverDeletionMutation没有正确验证请求者对目标工作区的所有权。攻击者需要知道或猜测目标工作区的UUID，然后通过API请求删除该工作区。由于API信任客户端提供的UUID，攻击者可以删除任意工作区。修复方案是在执行删除操作前验证当前用户是否拥有该工作区。

攻击链分析

STEP 1

步骤1: 收集目标工作区UUID

攻击者通过社会工程或其他方式获取目标用户的某个工作区UUID

STEP 2

步骤2: 构造GraphQL请求

使用获取的UUID构造WorkspacePopoverDeletionMutation请求

STEP 3

步骤3: 发送恶意请求

以低权限用户身份发送GraphQL请求，由于缺少授权检查，请求成功执行

STEP 4

步骤4: 验证删除结果

目标工作区被成功删除，造成数据丢失

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

需要生成PoC代码

影响范围

OpenCTI < 6.8.1

防御指南

临时缓解措施

如果无法立即升级，应实施额外的访问控制层，限制对工作区删除API的访问，并监控异常删除行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表