OpenCTI 代码问题漏洞CVE-2026-21887

OpenCTI（Open Cyber Threat Intelligence Platform）是一款开源的网络威胁情报（CTI）管理平台，平台采用微服务 + 图数据库架构。

一、基本情况

OpenCTI 平台是由法国国家网络安全局（ANSSI）、Luatix 及欧盟 CERT-EU 联合开发，其核心是基于STIX 2.1标准构建的知识图谱。

OpenCTI 是 OpenCTI 开源的一个开放网络威胁情报平台，以图数据库方式建模威胁实体（攻击者、TTP、漏洞、IOC 等）的复杂关系。

栋科技漏洞库关注到 OpenCTI 6.8.16 之前版本存在代码问题漏洞，该漏洞现在已经被追踪为CVE-2026-21887，CVSS 3.X评分为7.7。

二、漏洞分析

CVE-2026-21887是OpenCTI相关版本存在的代码问题漏洞，源于数据摄取功能未验证用户提供的URL，可导致服务器端请求伪造攻击。

OpenCTI 平台数据导入功能在接收用户提供的URL时未做校验，且使用默认配置（allowAbsoluteUrls: true） Axios HTTP 请求客户端。

由于Axios会接收并处理绝对路径URL，攻击者构造请求访问任意接口（包括内部服务）导致半盲型服务器端请求伪造（SSRF） 漏洞。

具体来说，OpenCTI 6.8.16 之前的版本数据导入功能可能使得攻击者诱导应用向任意内部或外部接口发送 HTTP 请求。

这意味着攻击者能够访问未对外暴露的内部服务，如 Elasticsearch、Redis 或 RabbitMQ，进而可能窃取敏感数据或操控内部组件。

云环境中，可针对 AWS、Azure、GCP 等云厂商元数据服务发起攻击，获取凭证与配置信息，最终可能导致整个基础设施被完全攻陷。

尽管该SSRF为半盲型，攻击者无法查看完整响应，但凭借与内部服务交互的能力仍可实现服务探测、数据窃取，对内部系统造成影响。

若内部 API 存在高危功能，在部分场景下还可实现远程代码执行。

三、影响范围

OpenCTI < 6.8.16

四、修复建议

OpenCTI >= 6.8.16

五、参考链接

管理员已设置登录后刷新可查看