اكتشف مركز أبحاث الأمن السيبراني Synopsys مؤخرًا ثغرتين هامتين في JSON ، مما يشكل مخاطر كبيرة على أمن البيانات وخصوصية المستخدم في نظام إدارة المحتوى بدون رأس Node.js (CMS) Strapi المفتوح المصدر.
تم تصنيف نقاط الضعف هذه ، التي تم تصنيفها على أنها CVE-2022-30617 و CVE-2022-30618 ، على أنها مخاطر التعرض للبيانات الحساسة. من المحتمل أن تؤدي إلى اختراق الحساب في لوحة إدارة Strapi. Strapi هو برنامج CMS مفتوح المصدر مفتوح المصدر تم تطويره في JavaScript ، مما يمكّن المستخدمين من تصميم وإنشاء واجهات برمجة التطبيقات (APIs) بسرعة. لوحة الإدارة الخاصة بها هي واجهة مستخدم قائمة على الويب تتيح للمستخدمين إدارة أنواع المحتوى وتحديد واجهة برمجة التطبيقات.
تتضمن الإصدارات المتأثرة Strapi v3 حتى v3.6.9 وإصدارات بيتا Strapi v4 حتى v4.0.0-beta.15. تعرض CVE-2022-30617 البيانات الحساسة في استجابة JSON إذا تم استخدامها من قبل مستخدمي لوحة الإدارة ، بينما تتصرف CVE-2022-30618 بشكل مشابه.
أوضح الباحثون أن الثغرة الأولى تسمح للمستخدم المصادق عليه ، والذي تمكّن من الوصول إلى لوحة إدارة Strapi ، بعرض البيانات الخاصة والحساسة. يتضمن ذلك عناوين البريد الإلكتروني ، والرموز المميزة لإعادة تعيين كلمة المرور ، والبيانات المتعلقة بمستخدمي لوحة الإدارة الآخرين الذين لديهم علاقة بالمحتوى الذي يمكن للمستخدم المصادق الوصول إليه. يمكن أن تحدث سيناريوهات مختلفة حيث قد يتم تسريب تفاصيل من مستخدمين آخرين في استجابة JSON ، إما من خلال علاقة مباشرة أو غير مباشرة.
تمكن الثغرة الأمنية الثانية المستخدم المصادق عليه من الوصول إلى لوحة إدارة Strapi لعرض البيانات الخاصة والحساسة المتعلقة بمستخدمي API. يمكن أن يحدث هذا إذا كانت أنواع المحتويات التي يمكن للمستخدم المصادق الوصول إليها تحتوي على علاقات بمستخدمي API. في الحالات القصوى ، يمكن للمستخدم ذي الامتيازات المنخفضة الوصول إلى حساب API عالي الامتيازات ، مما يسمح له بقراءة أي بيانات وتعديلها وحظر الوصول إلى كل من لوحة الإدارة وواجهة برمجة التطبيقات عن طريق إلغاء الامتيازات لجميع المستخدمين الآخرين.
أخطرت سينوبسيس Strapi لأول مرة بهذه الثغرات الأمنية في نوفمبر ، وقد عالجت الإصدارات اللاحقة المشكلة بالفعل. ومع ذلك ، من الأهمية بمكان ملاحظة أنه لا يقوم جميع المستخدمين بتحديث برامجهم على الفور ، مما قد يعرض أنفسهم لهذه المخاطر. يجب التركيز على تحديثات البرامج في الوقت المناسب لمنع استغلال هذه الثغرات الأمنية.
في الآونة الأخيرة ، نظرًا لأن الأنظمة الأساسية no-code ومنصات low-code تكتسب شعبية ، فمن الضروري لمطوري البرامج والمستخدمين توخي الحذر بشأن مشكلات الأمان المحتملة. يضمن AppMaster ، وهو نظام أساسي قوي no-code ، إنشاء خلفية آمنة وتطبيقات الويب والجوال ، مع التركيز على قابلية التوسع والأداء. تقلل تقنية AppMaster بشكل كبير من مخاطر الثغرات الأمنية ، مما يجعل تطوير التطبيقات أسرع وأكثر فعالية من حيث التكلفة لمجموعة واسعة من العملاء ، من الشركات الصغيرة إلى المؤسسات.
