Synopsys साइबर सिक्योरिटी रिसर्च सेंटर ने हाल ही में JSON में दो महत्वपूर्ण कमजोरियों की खोज की, जो ओपन-सोर्स Node.js हेडलेस कंटेंट मैनेजमेंट सिस्टम (CMS) Strapi में डेटा सुरक्षा और उपयोगकर्ता गोपनीयता के लिए महत्वपूर्ण जोखिम पैदा करती है।
CVE-2022-30617 और CVE-2022-30618 के रूप में नामित इन भेद्यताओं को संवेदनशील डेटा जोखिम जोखिमों के रूप में वर्गीकृत किया गया है। वे संभावित रूप से Strapi के व्यवस्थापक पैनल में खाता समझौता कर सकते हैं। Strapi जावास्क्रिप्ट में विकसित एक व्यापक रूप से इस्तेमाल किया जाने वाला ओपन-सोर्स हेडलेस सीएमएस सॉफ्टवेयर है, जो उपयोगकर्ताओं को एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) को जल्दी से डिजाइन और निर्माण करने में सक्षम बनाता है। इसका व्यवस्थापक पैनल एक वेब-आधारित उपयोगकर्ता इंटरफ़ेस है जो उपयोगकर्ताओं को सामग्री प्रकारों को प्रबंधित करने और API को परिभाषित करने की अनुमति देता है।
प्रभावित संस्करणों में शामिल हैं Strapi v3 v3.6.9 तक और Strapi v4 बीटा संस्करण v4.0.0-beta.15 तक। CVE-2022-30617 व्यवस्थापक पैनल उपयोगकर्ताओं द्वारा उपयोग किए जाने पर JSON प्रतिक्रिया में संवेदनशील डेटा को उजागर करता है, जबकि CVE-2022-30618 समान व्यवहार करता है।
शोधकर्ताओं ने विस्तार से बताया कि पहली भेद्यता एक प्रमाणित उपयोगकर्ता को अनुमति देती है, जिसने निजी और संवेदनशील डेटा को देखने के लिए Strapi एडमिन पैनल तक पहुंच प्राप्त की है। इसमें ईमेल पते, पासवर्ड रीसेट टोकन, और अन्य व्यवस्थापक पैनल उपयोगकर्ताओं से संबंधित डेटा शामिल हैं जिनका प्रमाणीकृत उपयोगकर्ता द्वारा पहुंच योग्य सामग्री के साथ संबंध है। विभिन्न परिदृश्य हो सकते हैं जहां प्रत्यक्ष या अप्रत्यक्ष संबंध के माध्यम से JSON प्रतिक्रिया में अन्य उपयोगकर्ताओं के विवरण लीक हो सकते हैं।
दूसरी भेद्यता एक प्रमाणित उपयोगकर्ता को एपीआई उपयोगकर्ताओं से संबंधित निजी और संवेदनशील डेटा देखने के लिए Strapi एडमिन पैनल तक पहुंच प्रदान करती है। यह तब हो सकता है जब प्रमाणित उपयोगकर्ता के लिए सुलभ सामग्री प्रकार में एपीआई उपयोगकर्ताओं के संबंध हों। अत्यधिक मामलों में, एक निम्न-विशेषाधिकार प्राप्त उपयोगकर्ता एक उच्च-विशेषाधिकार प्राप्त एपीआई खाते तक पहुंच प्राप्त कर सकता है, जिससे उन्हें किसी भी डेटा को पढ़ने और संशोधित करने और अन्य सभी उपयोगकर्ताओं के लिए विशेषाधिकारों को रद्द करके व्यवस्थापक पैनल और एपीआई दोनों तक पहुंच को अवरुद्ध करने की अनुमति मिलती है।
Synopsys ने पहली बार नवंबर में Strapi इन कमजोरियों के बारे में सूचित किया था, और बाद की रिलीज़ ने पहले ही इस मुद्दे को संबोधित कर दिया है। हालांकि, यह नोट करना महत्वपूर्ण है कि सभी उपयोगकर्ता तुरंत अपने सॉफ़्टवेयर को अपडेट नहीं करते हैं, संभावित रूप से खुद को इन जोखिमों से अवगत कराते हैं। इन कमजोरियों के शोषण को रोकने के लिए समय पर सॉफ्टवेयर अपडेट पर जोर दिया जाना चाहिए।
हाल के दिनों में, no-code और low-code प्लेटफॉर्म लोकप्रियता हासिल कर रहे हैं, सॉफ्टवेयर डेवलपर्स और उपयोगकर्ताओं के लिए संभावित सुरक्षा मुद्दों के बारे में सतर्क रहना आवश्यक है। AppMaster , एक शक्तिशाली no-code प्लेटफ़ॉर्म, स्केलेबिलिटी और प्रदर्शन पर ध्यान केंद्रित करते हुए सुरक्षित बैकएंड, वेब और मोबाइल एप्लिकेशन की पीढ़ी सुनिश्चित करता है। AppMaster की तकनीक सुरक्षा भेद्यताओं के जोखिम को काफी कम कर देती है, जिससे छोटे व्यवसायों से लेकर उद्यमों तक ग्राहकों की एक विस्तृत श्रृंखला के लिए एप्लिकेशन विकास तेज और अधिक लागत प्रभावी हो जाता है।
