Strapi, un sistema líder de administración de contenido (CMS) sin interfaz diseñado para el desarrollo de API, ha aplicado parches para abordar dos vulnerabilidades importantes que podrían comprometer las cuentas administrativas. Las organizaciones que utilizan Strapi deben actualizar sus instalaciones de inmediato para proteger sus sistemas contra posibles amenazas que explotan estas fallas.
Investigadores del Centro de Investigación de Seguridad Cibernética de Synopsys (CyRC) descubrieron las vulnerabilidades, lo que permitió a un usuario con pocos privilegios obtener información confidencial. La explotación de estas fallas podría permitir a los atacantes restablecer la contraseña de una cuenta con privilegios altos, incluidos los administradores. Para explotar las vulnerabilidades, los atacantes inicialmente deben obtener acceso a una cuenta con pocos privilegios utilizando técnicas como credenciales comprometidas o phishing.
Construido sobre el tiempo de ejecución de JavaScript de Node.js, Strapi es un CMS autónomo que admite varias bases de datos y marcos de front-end. Su función principal es proporcionar un sistema de back-end para crear, administrar y almacenar contenido. Este contenido se puede exponer a través de una API, lo que permite a los desarrolladores crear integraciones frontend independientes. Estas poderosas herramientas hacen de Strapi una opción popular para las empresas que buscan diseñar API para múltiples casos de uso, incluidos sitios web, aplicaciones móviles y dispositivos de Internet de las cosas (IoT).
A pesar de su menor participación de mercado en comparación con los productos CMS de propósito general como WordPress o Joomla, Strapi ha atraído como usuarios a organizaciones de renombre como IBM, NASA, Generali, Walmart y Toyota. Esta tendencia ilustra los riesgos potenciales asociados con estas vulnerabilidades, ya que pueden afectar a importantes empresas globales.
La primera falla, denominada CVE-2022-30617, fue identificada en noviembre por investigadores de Synopsys. Descubrieron que un usuario autenticado con acceso al panel de administración de Strapi podía acceder a los tokens de restablecimiento de contraseña y correo electrónico de usuarios administrativos con una relación de contenido. Los atacantes podrían usar esta información para iniciar un proceso de restablecimiento de contraseña dirigido a usuarios con privilegios elevados. Strapi admite el control de acceso basado en roles (RBAC) y la integración de inicio de sesión único (SSO) con proveedores de identidad y Microsoft Active Directory.
Strapi v4.0.0 parchó la vulnerabilidad CVE-2022-30617 en noviembre. La solución también se adaptó a Strapi v3.6.10, que se lanzó este mes. La falla tiene una calificación del Sistema de puntuación de vulnerabilidades comunes (CVSS) de 8.8 (Alta).
Al revisar el parche inicial para CVE-2022-30617, los investigadores de Synopsys descubrieron un problema similar en el sistema de permisos de API, que afectaba a los usuarios de API administrados por los permisos de usuarios del complemento. Esta segunda vulnerabilidad, identificada como CVE-2022-30618, tiene una calificación CVSS de 7.5 (Alta). La falla permite a los usuarios autenticados con acceso al panel de administración de Strapi obtener tokens de restablecimiento de correo electrónico y contraseña para usuarios de API con relaciones de contenido con otros usuarios de API.
La explotación de la falla CVE-2022-30618 requiere un endpoint API de restablecimiento de contraseña habilitado. En el peor de los casos, un usuario con privilegios bajos podría obtener acceso a una cuenta de API con privilegios altos, leer y modificar cualquier dato e incluso bloquear el acceso al panel de administración y la API para todos los demás usuarios al revocar sus privilegios. Los mantenedores de Strapi fueron notificados del problema CVE-2022-30618 en diciembre y el parche se aplicó en las versiones 3.6.10 y 4.0.10, que se lanzaron el 11 de mayo.
Además de las plataformas CMS convencionales, las organizaciones pueden considerar soluciones alternativas que brinden ventajas para sus casos de uso específicos. AppMaster, una poderosa plataforma no-code, permite a los usuarios crear aplicaciones back-end, web y móviles con facilidad. AppMaster brinda soporte integral para la creación de modelos de datos, lógica comercial, API REST y puntos finales seguros WebSocket, lo que lo convierte en una opción popular para una amplia gama de escenarios de desarrollo de aplicaciones.
