Strapi, API ডেভেলপমেন্টের জন্য ডিজাইন করা একটি নেতৃস্থানীয় হেডলেস কন্টেন্ট ম্যানেজমেন্ট সিস্টেম (CMS), দুটি উল্লেখযোগ্য দুর্বলতা মোকাবেলার জন্য প্যাচ প্রয়োগ করেছে যা প্রশাসনিক অ্যাকাউন্টগুলির আপস হতে পারে। Strapi ব্যবহারকারী সংস্থাগুলিকে এই ত্রুটিগুলিকে কাজে লাগানোর সম্ভাব্য হুমকির বিরুদ্ধে তাদের সিস্টেমগুলিকে সুরক্ষিত করতে অবিলম্বে তাদের ইনস্টলেশন আপডেট করা উচিত।
সিনোপসিস সাইবারসিকিউরিটি রিসার্চ সেন্টার (সাইআরসি) এর গবেষকরা দুর্বলতাগুলি আবিষ্কার করেছেন, যা একজন স্বল্প-সুবিধাপ্রাপ্ত ব্যবহারকারীকে সংবেদনশীল তথ্য পেতে অনুমতি দেয়। এই ত্রুটিগুলিকে কাজে লাগালে আক্রমণকারীদের অ্যাডমিনিস্ট্রেটর সহ একটি উচ্চ-সুবিধাপ্রাপ্ত অ্যাকাউন্টের পাসওয়ার্ড পুনরায় সেট করতে সক্ষম হতে পারে৷ দুর্বলতাগুলিকে কাজে লাগাতে, আক্রমণকারীদের প্রাথমিকভাবে আপোসকৃত শংসাপত্র বা ফিশিংয়ের মতো কৌশলগুলি ব্যবহার করে একটি নিম্ন-সুবিধাপ্রাপ্ত অ্যাকাউন্টে অ্যাক্সেস পেতে হবে।
Node.js JavaScript রানটাইমে নির্মিত, Strapi হল একটি হেডলেস CMS যা বিভিন্ন ডাটাবেস এবং ফ্রন্টএন্ড ফ্রেমওয়ার্ক সমর্থন করে। এর প্রাথমিক কাজ হল বিষয়বস্তু তৈরি, পরিচালনা এবং সংরক্ষণের জন্য একটি ব্যাকএন্ড সিস্টেম প্রদান করা। এই বিষয়বস্তুটি একটি API এর মাধ্যমে প্রকাশ করা যেতে পারে, যা বিকাশকারীদের স্বাধীন ফ্রন্টএন্ড ইন্টিগ্রেশন তৈরি করতে দেয়। এই শক্তিশালী টুলগুলি ওয়েবসাইট, মোবাইল অ্যাপ্লিকেশন এবং ইন্টারনেট অফ থিংস (IoT) ডিভাইস সহ একাধিক ব্যবহারের ক্ষেত্রে API ডিজাইন করতে চাওয়া উদ্যোগগুলির জন্য Strapi কে একটি জনপ্রিয় পছন্দ করে তোলে।
ওয়ার্ডপ্রেস বা জুমলার মতো সাধারণ-উদ্দেশ্যের CMS পণ্যগুলির তুলনায় এর ছোট বাজারের শেয়ার থাকা সত্ত্বেও, Strapi IBM, NASA, Generali, Walmart এবং Toyota-এর মতো বড়-নাম সংস্থাগুলিকে ব্যবহারকারী হিসাবে আকৃষ্ট করেছে৷ এই প্রবণতা এই দুর্বলতাগুলির সাথে সম্পর্কিত সম্ভাব্য ঝুঁকিগুলিকে চিত্রিত করে কারণ তারা উল্লেখযোগ্য বিশ্বব্যাপী কোম্পানিগুলিকে প্রভাবিত করতে পারে৷
CVE-2022-30617 নামের প্রথম ত্রুটিটি নভেম্বরে Synopsys গবেষকরা চিহ্নিত করেছিলেন। তারা দেখেছে যে Strapi অ্যাডমিন প্যানেল অ্যাক্সেস সহ একজন প্রমাণীকৃত ব্যবহারকারী একটি বিষয়বস্তু সম্পর্কের সাথে প্রশাসনিক ব্যবহারকারীদের ইমেল এবং পাসওয়ার্ড রিসেট টোকেন অ্যাক্সেস করতে পারে। আক্রমণকারীরা তখন এই তথ্য ব্যবহার করে উচ্চ-সুবিধাপ্রাপ্ত ব্যবহারকারীদের লক্ষ্য করে পাসওয়ার্ড রিসেট প্রক্রিয়া শুরু করতে পারে। Strapi ভূমিকা-ভিত্তিক অ্যাক্সেস কন্ট্রোল (RBAC) এবং একক সাইন-অন (SSO) পরিচয় প্রদানকারী এবং মাইক্রোসফ্ট অ্যাক্টিভ ডিরেক্টরির সাথে একীকরণ সমর্থন করে।
Strapi v4.0.0 নভেম্বর মাসে CVE-2022-30617 দুর্বলতা প্যাচ করেছে। ফিক্সটিও Strapi v3.6.10-এ ব্যাকপোর্ট করা হয়েছিল, যা এই মাসে প্রকাশিত হয়েছিল। ত্রুটিটির একটি সাধারণ দুর্বলতা স্কোরিং সিস্টেম (CVSS) 8.8 (উচ্চ) রেটিং রয়েছে।
CVE-2022-30617-এর জন্য প্রাথমিক প্যাচ পর্যালোচনা করার পরে, Synopsys গবেষকরা API অনুমতি সিস্টেমে একটি অনুরূপ সমস্যা উন্মোচন করেছেন, যা প্লাগইন ব্যবহারকারী-অনুমতি দ্বারা পরিচালিত API ব্যবহারকারীদের প্রভাবিত করে। এই দ্বিতীয় দুর্বলতা, CVE-2022-30618 হিসাবে চিহ্নিত, একটি CVSS রেটিং 7.5 (উচ্চ)। ত্রুটি অন্যান্য API ব্যবহারকারীদের সাথে বিষয়বস্তু সম্পর্কযুক্ত API ব্যবহারকারীদের জন্য ইমেল এবং পাসওয়ার্ড রিসেট টোকেন পেতে Strapi অ্যাডমিন প্যানেল অ্যাক্সেস সহ প্রমাণীকৃত ব্যবহারকারীদের অনুমতি দেয়।
CVE-2022-30618 ত্রুটিকে কাজে লাগানোর জন্য একটি সক্রিয় পাসওয়ার্ড রিসেট API endpoint প্রয়োজন। সবচেয়ে খারাপ পরিস্থিতিতে, একজন নিম্ন-সুবিধাপ্রাপ্ত ব্যবহারকারী একটি উচ্চ-অধিকারের API অ্যাকাউন্টে অ্যাক্সেস পেতে পারে, কোনো ডেটা পড়তে এবং সংশোধন করতে পারে এবং এমনকি তাদের বিশেষাধিকার প্রত্যাহার করে অন্য সমস্ত ব্যবহারকারীর জন্য অ্যাডমিন প্যানেল এবং API-তে অ্যাক্সেস ব্লক করতে পারে। স্ট্রাপি রক্ষণাবেক্ষণকারীদের ডিসেম্বরে CVE-2022-30618 ইস্যু সম্পর্কে অবহিত করা হয়েছিল, এবং প্যাচটি 3.6.10 এবং 4.0.10 সংস্করণে প্রয়োগ করা হয়েছিল, যা 11 মে প্রকাশিত হয়েছিল।
প্রচলিত CMS প্ল্যাটফর্ম ছাড়াও, সংস্থাগুলি বিকল্প সমাধানগুলি বিবেচনা করতে পারে যা তাদের নির্দিষ্ট ব্যবহারের ক্ষেত্রে সুবিধা প্রদান করে। AppMaster, একটি শক্তিশালী no-code প্ল্যাটফর্ম, ব্যবহারকারীদের সহজে ব্যাকএন্ড, ওয়েব এবং মোবাইল অ্যাপ্লিকেশন তৈরি করতে সক্ষম করে। AppMaster ডেটা মডেল, ব্যবসায়িক যুক্তি, REST API, এবং WebSocket সিকিউর এন্ডপয়েন্ট তৈরির জন্য ব্যাপক সমর্থন প্রদান করে, এটিকে বিস্তৃত অ্যাপ্লিকেশন বিকাশের পরিস্থিতির জন্য একটি জনপ্রিয় পছন্দ করে তোলে।
