Das Synopsys Cybersecurity Research Center hat kürzlich zwei kritische Sicherheitslücken in JSON entdeckt, die erhebliche Risiken für die Datensicherheit und die Privatsphäre der Benutzer im Headless-Content-Management-System (CMS) Strapi des Open-Source-Node.js darstellen.
Diese als CVE-2022-30617 und CVE-2022-30618 bezeichneten Schwachstellen wurden als Risiken für die Offenlegung sensibler Daten eingestuft. Sie könnten möglicherweise zu einer Kompromittierung des Kontos im Admin-Bereich von Strapi führen. Strapi ist eine weit verbreitete Open-Source-Headless-CMS-Software, die in JavaScript entwickelt wurde und es Benutzern ermöglicht, Anwendungsprogrammierschnittstellen (APIs) schnell zu entwerfen und zu erstellen. Das Admin-Panel ist eine webbasierte Benutzeroberfläche, mit der Benutzer Inhaltstypen verwalten und die API definieren können.
Zu den betroffenen Versionen gehören Strapi v3 bis v3.6.9 und Strapi v4 Beta-Versionen bis v4.0.0-beta.15. CVE-2022-30617 legt vertrauliche Daten in einer JSON-Antwort offen, wenn sie von Benutzern des Admin-Panels verwendet werden, während sich CVE-2022-30618 ähnlich verhält.
Die Forscher erklärten, dass die erste Schwachstelle es einem authentifizierten Benutzer, der Zugriff auf das Strapi Admin-Panel erhalten hat, ermöglicht, private und sensible Daten anzuzeigen. Dies umfasst E-Mail-Adressen, Token zum Zurücksetzen von Passwörtern und Daten zu anderen Benutzern des Admin-Panels, die eine Beziehung zu Inhalten haben, auf die der authentifizierte Benutzer zugreifen kann. Es können verschiedene Szenarien auftreten, in denen Details von anderen Benutzern in der JSON-Antwort entweder durch eine direkte oder indirekte Beziehung durchgesickert sind.
Die zweite Schwachstelle ermöglicht es einem authentifizierten Benutzer mit Zugriff auf das Strapi Admin-Panel, private und sensible Daten im Zusammenhang mit API-Benutzern anzuzeigen. Dies kann passieren, wenn Inhaltstypen, auf die der authentifizierte Benutzer zugreifen kann, Beziehungen zu API-Benutzern enthalten. In extremen Fällen kann ein Benutzer mit geringen Berechtigungen Zugriff auf ein API-Konto mit hohen Berechtigungen erhalten, wodurch er alle Daten lesen und ändern und den Zugriff sowohl auf das Admin-Panel als auch auf die API blockieren kann, indem er Berechtigungen für alle anderen Benutzer entzieht.
Synopsys hat Strapi erstmals im November über diese Schwachstellen informiert, und nachfolgende Versionen haben das Problem bereits behoben. Es ist jedoch wichtig zu beachten, dass nicht alle Benutzer ihre Software umgehend aktualisieren und sich möglicherweise diesen Risiken aussetzen. Der Schwerpunkt muss auf rechtzeitige Software-Updates gelegt werden, um die Ausnutzung dieser Schwachstellen zu verhindern.
In jüngster Zeit, da no-code und low-code Plattformen immer beliebter werden, ist es für Softwareentwickler und Benutzer unerlässlich, auf potenzielle Sicherheitsprobleme zu achten. AppMaster , eine leistungsstarke no-code Plattform, gewährleistet die Generierung sicherer Backend-, Web- und Mobilanwendungen, wobei der Schwerpunkt auf Skalierbarkeit und Leistung liegt. Die Technologie von AppMaster reduziert das Risiko von Sicherheitslücken erheblich und macht die Anwendungsentwicklung für eine breite Palette von Kunden, von kleinen Unternehmen bis hin zu großen Unternehmen, schneller und kostengünstiger.
