Synopsys সাইবারসিকিউরিটি রিসার্চ সেন্টার সম্প্রতি JSON-এ দুটি গুরুত্বপূর্ণ দুর্বলতা আবিষ্কার করেছে, যা ওপেন-সোর্স Node.js হেডলেস কন্টেন্ট ম্যানেজমেন্ট সিস্টেম (CMS) Strapi তে ডেটা নিরাপত্তা এবং ব্যবহারকারীর গোপনীয়তার জন্য উল্লেখযোগ্য ঝুঁকি তৈরি করেছে।
CVE-2022-30617 এবং CVE-2022-30618 হিসাবে মনোনীত এই দুর্বলতাগুলিকে সংবেদনশীল ডেটা এক্সপোজার ঝুঁকি হিসাবে শ্রেণীবদ্ধ করা হয়েছে। তারা সম্ভবত Strapi এর অ্যাডমিন প্যানেলে অ্যাকাউন্ট আপস করতে পারে। Strapi জাভাস্ক্রিপ্টে বিকশিত একটি বহুল ব্যবহৃত ওপেন-সোর্স হেডলেস সিএমএস সফ্টওয়্যার যা ব্যবহারকারীদের অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (এপিআই) দ্রুত ডিজাইন ও নির্মাণ করতে সক্ষম করে। এর অ্যাডমিন প্যানেল একটি ওয়েব-ভিত্তিক ইউজার ইন্টারফেস যা ব্যবহারকারীদের বিষয়বস্তুর ধরন পরিচালনা করতে এবং API সংজ্ঞায়িত করতে দেয়।
প্রভাবিত সংস্করণগুলির মধ্যে Strapi v3 v3.6.9 পর্যন্ত এবং Strapi v4 বিটা সংস্করণগুলি v4.0.0-beta.15 পর্যন্ত অন্তর্ভুক্ত রয়েছে। অ্যাডমিন প্যানেল ব্যবহারকারীরা ব্যবহার করলে CVE-2022-30617 একটি JSON প্রতিক্রিয়াতে সংবেদনশীল ডেটা প্রকাশ করে, যখন CVE-2022-30618 একই রকম আচরণ করে।
গবেষকরা ব্যাখ্যা করেছেন যে প্রথম দুর্বলতা একজন প্রমাণীকৃত ব্যবহারকারীকে অনুমতি দেয়, যিনি Strapi অ্যাডমিন প্যানেলে অ্যাক্সেস পেয়েছেন, ব্যক্তিগত এবং সংবেদনশীল ডেটা দেখতে পারেন। এর মধ্যে রয়েছে ইমেল ঠিকানা, পাসওয়ার্ড রিসেট টোকেন, এবং অন্যান্য অ্যাডমিন প্যানেল ব্যবহারকারীদের সম্পর্কিত ডেটা যা প্রমাণীকৃত ব্যবহারকারীর দ্বারা পৌঁছানো যায় এমন সামগ্রীর সাথে সম্পর্কযুক্ত। বিভিন্ন পরিস্থিতিতে ঘটতে পারে যেখানে অন্য ব্যবহারকারীদের কাছ থেকে বিশদ JSON প্রতিক্রিয়াতে ফাঁস হতে পারে, প্রত্যক্ষ বা পরোক্ষ সম্পর্কের মাধ্যমে।
দ্বিতীয় দুর্বলতা এপিআই ব্যবহারকারীদের সাথে সম্পর্কিত ব্যক্তিগত এবং সংবেদনশীল ডেটা দেখতে Strapi অ্যাডমিন প্যানেলে অ্যাক্সেস সহ একজন প্রমাণীকৃত ব্যবহারকারীকে সক্ষম করে। এটি ঘটতে পারে যদি প্রমাণীকৃত ব্যবহারকারীর কাছে অ্যাক্সেসযোগ্য বিষয়বস্তুর প্রকারে API ব্যবহারকারীদের সাথে সম্পর্ক থাকে। চরম ক্ষেত্রে, একজন নিম্ন-সুবিধাপ্রাপ্ত ব্যবহারকারী একটি উচ্চ-সুবিধাপ্রাপ্ত API অ্যাকাউন্টে অ্যাক্সেস পেতে পারেন, যা তাদের যেকোনো ডেটা পড়তে এবং সংশোধন করতে এবং অন্য সমস্ত ব্যবহারকারীদের জন্য বিশেষাধিকার প্রত্যাহার করে অ্যাডমিন প্যানেল এবং API উভয়ের অ্যাক্সেস ব্লক করতে দেয়।
Synopsys প্রথম নভেম্বরে Strapi এই দুর্বলতার বিষয়ে অবহিত করেছিল এবং পরবর্তী রিলিজগুলি ইতিমধ্যেই সমস্যাটির সমাধান করেছে। যাইহোক, এটি লক্ষ্য করা গুরুত্বপূর্ণ যে সমস্ত ব্যবহারকারী তাদের সফ্টওয়্যারটি অবিলম্বে আপডেট করে না, সম্ভাব্যভাবে নিজেদেরকে এই ঝুঁকির সম্মুখীন করে। এই দুর্বলতাগুলির শোষণ রোধ করতে সময়মত সফ্টওয়্যার আপডেটের উপর জোর দিতে হবে।
সাম্প্রতিক সময়ে, যেহেতু no-code এবং low-code প্ল্যাটফর্মগুলি জনপ্রিয়তা লাভ করে, সফ্টওয়্যার বিকাশকারী এবং ব্যবহারকারীদের জন্য সম্ভাব্য নিরাপত্তা সমস্যাগুলির বিষয়ে সতর্ক থাকা অপরিহার্য৷ AppMaster , একটি শক্তিশালী no-code প্ল্যাটফর্ম, নিরাপদ ব্যাকএন্ড, ওয়েব এবং মোবাইল অ্যাপ্লিকেশনের প্রজন্ম নিশ্চিত করে, যা স্কেলেবিলিটি এবং কর্মক্ষমতার উপর ফোকাস করে। AppMaster-এর প্রযুক্তি নিরাপত্তা দুর্বলতার ঝুঁকি উল্লেখযোগ্যভাবে কমিয়ে দেয়, ছোট ব্যবসা থেকে শুরু করে এন্টারপ্রাইজ পর্যন্ত বিস্তৃত গ্রাহকদের জন্য অ্যাপ্লিকেশন ডেভেলপমেন্টকে দ্রুত এবং আরও সাশ্রয়ী করে তোলে।
