Strapi ، وهو نظام رائد لإدارة المحتوى بدون رأس مصمم لتطوير واجهة برمجة التطبيقات ، تصحيحات لمعالجة ثغرتين هامتين قد تؤديان إلى اختراق الحسابات الإدارية. يجب على المنظمات التي تستخدم Strai تحديث منشآتها على الفور لتأمين أنظمتها ضد التهديدات المحتملة التي تستغل هذه العيوب.
اكتشف باحثون من مركز سينوبسيس لأبحاث الأمن السيبراني (CyRC) نقاط الضعف ، والتي سمحت للمستخدم ذي الامتيازات المنخفضة بالحصول على معلومات حساسة. قد يؤدي استغلال هذه العيوب إلى تمكين المهاجمين من إعادة تعيين كلمة مرور حساب ذي امتياز عالٍ ، بما في ذلك المسؤولون. لاستغلال الثغرات الأمنية ، يجب على المهاجمين في البداية الوصول إلى حساب ذي امتيازات منخفضة باستخدام تقنيات مثل بيانات الاعتماد المخترقة أو التصيد الاحتيالي.
مبني على وقت تشغيل جافا سكريبت Node.js ، Strapi عبارة عن نظام إدارة محتوى بدون رأس يدعم العديد من قواعد البيانات وأطر الواجهة الأمامية. وتتمثل مهمتها الأساسية في توفير نظام خلفي لإنشاء المحتوى وإدارته وتخزينه. يمكن عرض هذا المحتوى من خلال واجهة برمجة التطبيقات ، مما يسمح للمطورين بإنشاء عمليات تكامل مستقلة للواجهة الأمامية. تجعل هذه الأدوات القوية من Strapi خيارًا شائعًا للمؤسسات التي تتطلع إلى تصميم واجهات برمجة تطبيقات لحالات الاستخدام المتعددة ، بما في ذلك مواقع الويب وتطبيقات الهاتف المحمول وأجهزة إنترنت الأشياء (IoT).
على الرغم من حصتها السوقية الأصغر مقارنةً بمنتجات CMS للأغراض العامة مثل WordPress أو Joomla ، فقد اجتذب Strapi المؤسسات ذات الأسماء الكبيرة مثل IBM و NASA و Generali و Walmart و Toyota كمستخدمين. يوضح هذا الاتجاه المخاطر المحتملة المرتبطة بهذه الثغرات لأنها قد تؤثر على الشركات العالمية الهامة.
تم تحديد الخلل الأول ، المسمى CVE-2022-30617 ، في نوفمبر من قبل باحثي سينوبسيس. ووجدوا أن مستخدمًا مصادقًا له ولوج لوحة إدارة Strapi يمكنه الوصول إلى رموز إعادة تعيين البريد الإلكتروني وكلمة المرور الخاصة بالمستخدمين الإداريين ذوي العلاقة بالمحتوى. يمكن للمهاجمين بعد ذلك استخدام هذه المعلومات لبدء عملية إعادة تعيين كلمة المرور التي تستهدف المستخدمين ذوي الامتيازات العالية. يدعم Strapi التحكم في الوصول المستند إلى الأدوار (RBAC) وتكامل تسجيل الدخول الأحادي (SSO) مع موفري الهوية و Microsoft Active Directory.
قام Strapi v4.0.0 بتصحيح الثغرة الأمنية CVE-2022-30617 مرة أخرى في نوفمبر. تم إصلاح الإصلاح أيضًا إلى Backporti v3.6.10 ، والذي تم إصداره هذا الشهر. يحتوي الخلل على تصنيف نظام نقاط الضعف المشترك (CVSS) من 8.8 (مرتفع).
عند مراجعة التصحيح الأولي لـ CVE-2022-30617 ، اكتشف باحثو Synopsys مشكلة مماثلة في نظام أذونات API ، مما يؤثر على مستخدمي واجهة برمجة التطبيقات التي تديرها أذونات مستخدمي البرنامج المساعد. هذه الثغرة الأمنية الثانية ، التي تم تحديدها على أنها CVE-2022-30618 ، لها تصنيف CVSS يبلغ 7.5 (مرتفع). يسمح الخلل للمستخدمين المصادق عليهم من خلال الوصول إلى لوحة إدارة Strapi بالحصول على رموز إعادة تعيين البريد الإلكتروني وكلمة المرور لمستخدمي API الذين لديهم علاقات محتوى بمستخدمي API الآخرين.
يتطلب استغلال عيب CVE-2022-30618 تمكين endpoint API لإعادة تعيين كلمة المرور. في أسوأ السيناريوهات ، يمكن لمستخدم ذي امتيازات منخفضة الوصول إلى حساب API عالي الامتياز ، وقراءة أي بيانات وتعديلها ، وحتى حظر الوصول إلى لوحة الإدارة وواجهة برمجة التطبيقات لجميع المستخدمين الآخرين عن طريق إلغاء امتيازاتهم. تم إخطار المشرفين على Stripi بإصدار CVE-2022-30618 في ديسمبر ، وتم تطبيق التصحيح في الإصدارين 3.6.10 و 4.0.10 ، اللذين تم إصدارهما في 11 مايو.
بالإضافة إلى منصات CMS التقليدية ، قد تنظر المنظمات في حلول بديلة توفر مزايا لحالات الاستخدام المحددة الخاصة بها. AppMaster ، وهو نظام أساسي قوي no-code ، يمكّن المستخدمين من إنشاء تطبيقات الويب والجوال والخلفية بسهولة. يوفر AppMaster دعمًا شاملاً لإنشاء نماذج البيانات ومنطق الأعمال و REST APIs ونقاط نهاية WebSocket الآمنة ، مما يجعله خيارًا شائعًا لمجموعة واسعة من سيناريوهات تطوير التطبيقات.
