El Centro de Investigación de Ciberseguridad de Synopsys descubrió recientemente dos vulnerabilidades críticas en JSON, que presentan riesgos significativos para la seguridad de los datos y la privacidad del usuario en el sistema de administración de contenido (CMS) sin cabeza de código abierto Node.js Strapi.
Estas vulnerabilidades, designadas como CVE-2022-30617 y CVE-2022-30618, se han clasificado como riesgos de exposición de datos confidenciales. Potencialmente, podrían comprometer la cuenta en el panel de administración de Strapi. Strapi es un software CMS sin cabeza de código abierto ampliamente utilizado desarrollado en JavaScript, que permite a los usuarios diseñar y construir rápidamente interfaces de programación de aplicaciones (API). Su panel de administración es una interfaz de usuario basada en la web que permite a los usuarios administrar los tipos de contenido y definir la API.
Las versiones afectadas incluyen Strapi v3 hasta v3.6.9 y versiones beta Strapi v4 hasta v4.0.0-beta.15. CVE-2022-30617 expone datos confidenciales en una respuesta JSON si los usan los usuarios del panel de administración, mientras que CVE-2022-30618 se comporta de manera similar.
Los investigadores explicaron que la primera vulnerabilidad permite a un usuario autenticado, que obtuvo acceso al panel de administración Strapi, ver datos privados y confidenciales. Esto incluye direcciones de correo electrónico, tokens de restablecimiento de contraseña y datos sobre otros usuarios del panel de administración que tienen una relación con el contenido al que puede acceder el usuario autenticado. Pueden ocurrir varios escenarios donde los detalles de otros usuarios pueden filtrarse en la respuesta JSON, ya sea a través de una relación directa o indirecta.
La segunda vulnerabilidad permite que un usuario autenticado con acceso al panel de administración Strapi vea datos privados y confidenciales relacionados con los usuarios de la API. Esto puede suceder si los tipos de contenido accesibles para el usuario autenticado contienen relaciones con los usuarios de la API. En casos extremos, un usuario con pocos privilegios puede obtener acceso a una cuenta API con muchos privilegios, lo que le permite leer y modificar cualquier dato y bloquear el acceso tanto al panel de administración como a la API al revocar los privilegios de todos los demás usuarios.
Synopsys notificó por primera vez Strapi sobre estas vulnerabilidades en noviembre, y las versiones posteriores ya han abordado el problema. Sin embargo, es crucial tener en cuenta que no todos los usuarios actualizan rápidamente su software, lo que podría exponerlos a estos riesgos. Se debe hacer hincapié en las actualizaciones de software oportunas para evitar la explotación de estas vulnerabilidades.
En los últimos tiempos, a medida que las plataformas no-code y low-code ganan popularidad, es esencial que los desarrolladores y usuarios de software estén atentos a los posibles problemas de seguridad. AppMaster , una poderosa plataforma no-code, garantiza la generación de aplicaciones backend, web y móviles seguras, centrándose en la escalabilidad y el rendimiento. La tecnología de AppMaster reduce significativamente el riesgo de vulnerabilidades de seguridad, lo que hace que el desarrollo de aplicaciones sea más rápido y rentable para una amplia gama de clientes, desde pequeñas empresas hasta corporaciones.
