Strapi, एपीआई विकास के लिए डिज़ाइन की गई एक प्रमुख हेडलेस सामग्री प्रबंधन प्रणाली (सीएमएस) ने दो महत्वपूर्ण कमजोरियों को दूर करने के लिए पैच लागू किया है जो प्रशासनिक खातों के समझौता का कारण बन सकता है। स्ट्रैपी का उपयोग करने वाले संगठनों को इन खामियों का फायदा उठाने वाले संभावित खतरों से अपने सिस्टम को सुरक्षित करने के लिए तुरंत अपने इंस्टॉलेशन को अपडेट करना चाहिए।
Synopsys साइबर सुरक्षा अनुसंधान केंद्र (CyRC) के शोधकर्ताओं ने कमजोरियों की खोज की, जिसने कम-विशेषाधिकार वाले उपयोगकर्ता को संवेदनशील जानकारी प्राप्त करने की अनुमति दी। इन दोषों का शोषण करने से हमलावर प्रशासकों सहित एक उच्च-विशेषाधिकार वाले खाते का पासवर्ड रीसेट करने में सक्षम हो सकते हैं। कमजोरियों का फायदा उठाने के लिए, हमलावरों को शुरू में समझौता किए गए क्रेडेंशियल्स या फ़िशिंग जैसी तकनीकों का उपयोग करके कम-विशेषाधिकार वाले खाते तक पहुंच प्राप्त करनी चाहिए।
Node.js जावास्क्रिप्ट रनटाइम पर निर्मित, Strapi एक हेडलेस सीएमएस है जो विभिन्न डेटाबेस और फ्रंटएंड फ्रेमवर्क का समर्थन करता है। इसका प्राथमिक कार्य सामग्री बनाने, प्रबंधित करने और संग्रहीत करने के लिए बैकएंड सिस्टम प्रदान करना है। इस सामग्री को एक एपीआई के माध्यम से उजागर किया जा सकता है, जिससे डेवलपर्स को स्वतंत्र फ्रंटएंड इंटीग्रेशन बनाने की अनुमति मिलती है। ये शक्तिशाली उपकरण वेबसाइटों, मोबाइल एप्लिकेशन और इंटरनेट ऑफ थिंग्स (IoT) उपकरणों सहित कई उपयोग के मामलों के लिए एपीआई डिजाइन करने वाले उद्यमों के लिए स्ट्रैपी को एक लोकप्रिय विकल्प बनाते हैं।
वर्डप्रेस या जूमला जैसे सामान्य-उद्देश्य वाले सीएमएस उत्पादों की तुलना में इसकी छोटी बाजार हिस्सेदारी के बावजूद, Strapi आईबीएम, नासा, जेनराली, वॉलमार्ट और टोयोटा जैसे बड़े नाम वाले संगठनों को उपयोगकर्ताओं के रूप में आकर्षित किया है। यह प्रवृत्ति इन कमजोरियों से जुड़े संभावित जोखिमों को दर्शाती है क्योंकि वे महत्वपूर्ण वैश्विक कंपनियों को प्रभावित कर सकते हैं।
नवंबर में Synopsys के शोधकर्ताओं ने CVE-2022-30617 नाम के पहले दोष की पहचान की थी। उन्होंने पाया कि स्ट्रैपी एडमिन पैनल एक्सेस वाला एक प्रमाणित उपयोगकर्ता सामग्री संबंध वाले प्रशासनिक उपयोगकर्ताओं के ईमेल और पासवर्ड रीसेट टोकन तक पहुंच सकता है। हमलावर तब इस जानकारी का उपयोग उच्च-विशेषाधिकार वाले उपयोगकर्ताओं को लक्षित करने वाली पासवर्ड रीसेट प्रक्रिया शुरू करने के लिए कर सकते थे। Strapi भूमिका-आधारित अभिगम नियंत्रण (RBAC) और पहचान प्रदाताओं और Microsoft सक्रिय निर्देशिका के साथ एकल साइन-ऑन (SSO) एकीकरण का समर्थन करता है।
Strapi v4.0.0 ने CVE-2022-30617 भेद्यता को नवंबर में ठीक किया। फिक्स को स्ट्रैपी v3.6.10 में भी बैकपोर्ट किया गया था, जो इस महीने जारी किया गया था। दोष में 8.8 (उच्च) की सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) रेटिंग है।
CVE-2022-30617 के लिए प्रारंभिक पैच की समीक्षा करने पर, Synopsys के शोधकर्ताओं ने API अनुमति प्रणाली में एक समान समस्या का खुलासा किया, जिससे प्लगइन उपयोगकर्ता-अनुमतियों द्वारा प्रबंधित API उपयोगकर्ता प्रभावित हुए। CVE-2022-30618 के रूप में पहचानी गई इस दूसरी भेद्यता की CVSS रेटिंग 7.5 (उच्च) है। दोष अन्य एपीआई उपयोगकर्ताओं के साथ सामग्री संबंधों के साथ एपीआई उपयोगकर्ताओं के लिए ईमेल और पासवर्ड रीसेट टोकन प्राप्त करने के लिए स्ट्रैपी एडमिन पैनल एक्सेस के साथ प्रमाणित उपयोगकर्ताओं को अनुमति देता है।
CVE-2022-30618 दोष का फायदा उठाने के लिए सक्षम पासवर्ड रीसेट API endpoint की आवश्यकता होती है। सबसे खराब स्थिति में, एक निम्न-विशेषाधिकार वाला उपयोगकर्ता एक उच्च-विशेषाधिकार वाले एपीआई खाते तक पहुंच प्राप्त कर सकता है, किसी भी डेटा को पढ़ और संशोधित कर सकता है, और यहां तक कि अन्य सभी उपयोगकर्ताओं के लिए उनके विशेषाधिकारों को रद्द करके व्यवस्थापक पैनल और एपीआई तक पहुंच को अवरुद्ध कर सकता है। स्ट्रैपी मेंटेनर्स को दिसंबर में CVE-2022-30618 इश्यू के बारे में सूचित किया गया था, और पैच 3.6.10 और 4.0.10 संस्करणों में लागू किया गया था, जो 11 मई को जारी किए गए थे।
पारंपरिक सीएमएस प्लेटफॉर्म के अलावा, संगठन वैकल्पिक समाधानों पर विचार कर सकते हैं जो उनके विशिष्ट उपयोग मामलों के लिए लाभ प्रदान करते हैं। AppMaster एक शक्तिशाली no-code प्लेटफॉर्म है, जो उपयोगकर्ताओं को आसानी से बैकएंड, वेब और मोबाइल एप्लिकेशन बनाने में सक्षम बनाता है। AppMaster डेटा मॉडल, बिजनेस लॉजिक, रेस्ट एपीआई और वेबसॉकेट सिक्योर एंडपॉइंट्स बनाने के लिए व्यापक समर्थन प्रदान करता है, जिससे यह एप्लिकेशन विकास परिदृश्यों की एक विस्तृत श्रृंखला के लिए एक लोकप्रिय विकल्प बन जाता है।
