Le Synopsys Cybersecurity Research Center a récemment découvert deux vulnérabilités critiques dans JSON, posant des risques importants pour la sécurité des données et la confidentialité des utilisateurs dans le système de gestion de contenu (CMS) sans tête Node.js open-source Strapi.
Ces vulnérabilités, désignées comme CVE-2022-30617 et CVE-2022-30618, ont été classées comme risques d'exposition aux données sensibles. Ils pourraient potentiellement conduire à un compromis de compte dans le panneau d'administration de Strapi. Strapi est un logiciel CMS open-source sans tête largement utilisé, développé en JavaScript, permettant aux utilisateurs de concevoir et de construire rapidement des interfaces de programmation d'applications (API). Son panneau d'administration est une interface utilisateur Web permettant aux utilisateurs de gérer les types de contenu et de définir l'API.
Les versions concernées incluent Strapi v3 jusqu'à la v3.6.9 et les versions bêta Strapi v4 jusqu'à la v4.0.0-beta.15. CVE-2022-30617 expose des données sensibles dans une réponse JSON si elle est utilisée par les utilisateurs du panneau d'administration, tandis que CVE-2022-30618 se comporte de la même manière.
Les chercheurs ont expliqué que la première vulnérabilité permet à un utilisateur authentifié, qui a obtenu l'accès au panneau d'administration Strapi, d'afficher des données privées et sensibles. Cela comprend les adresses e-mail, les jetons de réinitialisation de mot de passe et les données concernant les autres utilisateurs du panneau d'administration qui ont une relation avec le contenu accessible par l'utilisateur authentifié. Divers scénarios peuvent se produire où les détails d'autres utilisateurs peuvent être divulgués dans la réponse JSON, soit par le biais d'une relation directe ou indirecte.
La deuxième vulnérabilité permet à un utilisateur authentifié ayant accès au panneau d'administration Strapi d'afficher des données privées et sensibles liées aux utilisateurs de l'API. Cela peut se produire si les types de contenu accessibles à l'utilisateur authentifié contiennent des relations avec les utilisateurs de l'API. Dans les cas extrêmes, un utilisateur à faibles privilèges peut accéder à un compte API à privilèges élevés, lui permettant de lire et de modifier toutes les données et de bloquer l'accès au panneau d'administration et à l'API en révoquant les privilèges de tous les autres utilisateurs.
Synopsys a d'abord informé Strapi de ces vulnérabilités en novembre, et les versions suivantes ont déjà résolu le problème. Cependant, il est crucial de noter que tous les utilisateurs ne mettent pas rapidement à jour leur logiciel, ce qui les expose potentiellement à ces risques. L'accent doit être mis sur les mises à jour logicielles en temps opportun pour empêcher l'exploitation de ces vulnérabilités.
Ces derniers temps, alors que les plates-formes no-code et low-code gagnent en popularité, il est essentiel que les développeurs et les utilisateurs de logiciels soient vigilants quant aux problèmes de sécurité potentiels. AppMaster , une puissante plate no-code, assure la génération d'applications backend, web et mobiles sécurisées, en mettant l'accent sur l'évolutivité et les performances. La technologie d'AppMaster réduit considérablement le risque de vulnérabilités de sécurité, ce qui rend le développement d'applications plus rapide et plus rentable pour un large éventail de clients, des petites entreprises aux grandes entreprises.
