Strapi, ein führendes Headless-Content-Management-System (CMS), das für die API-Entwicklung entwickelt wurde, hat Patches angewendet, um zwei erhebliche Schwachstellen zu beheben, die zur Kompromittierung von Administratorkonten führen könnten. Unternehmen, die Strapi verwenden, sollten ihre Installationen unverzüglich aktualisieren, um ihre Systeme vor möglichen Bedrohungen zu schützen, die diese Schwachstellen ausnutzen.
Forscher des Synopsys Cybersecurity Research Center (CyRC) entdeckten die Schwachstellen, die es einem Benutzer mit geringen Rechten ermöglichten, an sensible Informationen zu gelangen. Das Ausnutzen dieser Schwachstellen könnte es Angreifern ermöglichen, das Passwort eines Kontos mit hohen Berechtigungen, einschließlich Administratoren, zurückzusetzen. Um die Schwachstellen auszunutzen, müssen sich Angreifer zunächst mithilfe von Techniken wie kompromittierten Anmeldeinformationen oder Phishing Zugriff auf ein Konto mit geringen Berechtigungen verschaffen.
Strapi basiert auf der Node.js-JavaScript-Laufzeit und ist ein Headless-CMS, das verschiedene Datenbanken und Frontend-Frameworks unterstützt. Seine Hauptfunktion besteht darin, ein Backend-System zum Erstellen, Verwalten und Speichern von Inhalten bereitzustellen. Dieser Inhalt kann über eine API bereitgestellt werden, sodass Entwickler unabhängige Frontend-Integrationen erstellen können. Diese leistungsstarken Tools machen Strapi zu einer beliebten Wahl für Unternehmen, die APIs für mehrere Anwendungsfälle entwerfen möchten, darunter Websites, mobile Anwendungen und Geräte für das Internet der Dinge (IoT).
Trotz seines geringeren Marktanteils im Vergleich zu Allzweck-CMS-Produkten wie WordPress oder Joomla hat Strapi namhafte Organisationen wie IBM, NASA, Generali, Walmart und Toyota als Benutzer angezogen. Dieser Trend veranschaulicht die potenziellen Risiken, die mit diesen Schwachstellen verbunden sind, da sie bedeutende globale Unternehmen betreffen können.
Der erste Fehler namens CVE-2022-30617 wurde im November von Synopsys-Forschern identifiziert. Sie fanden heraus, dass ein authentifizierter Benutzer mit Zugriff auf das Strapi-Admin-Panel auf die E-Mail- und Passwort-Reset-Token von administrativen Benutzern mit einer Inhaltsbeziehung zugreifen konnte. Angreifer könnten diese Informationen dann verwenden, um einen Prozess zum Zurücksetzen von Passwörtern einzuleiten, der auf Benutzer mit hohen Berechtigungen abzielt. Strapi unterstützt die rollenbasierte Zugriffskontrolle (RBAC) und Single Sign-On (SSO)-Integration mit Identitätsanbietern und Microsoft Active Directory.
Strapi v4.0.0 hat die Schwachstelle CVE-2022-30617 bereits im November gepatcht. Der Fix wurde auch auf Strapi v3.6.10 zurückportiert, das diesen Monat veröffentlicht wurde. Der Fehler hat eine CVSS-Bewertung (Common Vulnerabilities Scoring System) von 8,8 (Hoch).
Bei der Überprüfung des ersten Patches für CVE-2022-30617 entdeckten die Synopsys-Forscher ein ähnliches Problem im API-Berechtigungssystem, das API-Benutzer betrifft, die von den Plugin-Benutzerberechtigungen verwaltet werden. Diese zweite Schwachstelle, die als CVE-2022-30618 identifiziert wird, hat eine CVSS-Bewertung von 7,5 (hoch). Der Fehler ermöglicht es authentifizierten Benutzern mit Zugriff auf das Strapi-Admin-Panel, E-Mail- und Passwort-Reset-Token für API-Benutzer mit Inhaltsbeziehungen zu anderen API-Benutzern zu erhalten.
Das Ausnutzen des Fehlers CVE-2022-30618 erfordert einen aktivierten API- endpoint zum Zurücksetzen des Passworts . Im schlimmsten Fall könnte ein Benutzer mit geringen Berechtigungen Zugriff auf ein API-Konto mit hohen Berechtigungen erhalten, Daten lesen und ändern und sogar den Zugriff auf das Admin-Panel und die API für alle anderen Benutzer blockieren, indem er seine Berechtigungen entzieht. Die Betreuer von Strapi wurden im Dezember über das Problem CVE-2022-30618 informiert, und der Patch wurde in den Versionen 3.6.10 und 4.0.10 angewendet, die am 11. Mai veröffentlicht wurden.
Neben herkömmlichen CMS-Plattformen können Unternehmen alternative Lösungen in Betracht ziehen, die Vorteile für ihre spezifischen Anwendungsfälle bieten. AppMaster, eine leistungsstarke no-code Plattform, ermöglicht Benutzern das einfache Erstellen von Backend-, Web- und mobilen Anwendungen. AppMaster bietet umfassende Unterstützung für die Erstellung von Datenmodellen, Geschäftslogik, REST-APIs und WebSocket Secure Endpoints, was es zu einer beliebten Wahl für eine Vielzahl von Anwendungsentwicklungsszenarien macht.
