Strapi, sistem manajemen konten (CMS) tanpa kepala terkemuka yang dirancang untuk pengembangan API, telah menerapkan tambalan untuk mengatasi dua kerentanan signifikan yang dapat menyebabkan kompromi akun administratif. Organisasi yang menggunakan Strapi harus segera memperbarui instalasi mereka untuk mengamankan sistem mereka dari kemungkinan ancaman yang mengeksploitasi kelemahan ini.
Peneliti dari Synopsys Cybersecurity Research Center (CyRC) menemukan kerentanan, yang memungkinkan pengguna dengan hak istimewa rendah untuk mendapatkan informasi sensitif. Memanfaatkan kelemahan ini dapat memungkinkan penyerang menyetel ulang kata sandi akun dengan hak istimewa tinggi, termasuk administrator. Untuk mengeksploitasi kerentanan, penyerang awalnya harus mendapatkan akses ke akun dengan hak istimewa rendah menggunakan teknik seperti kredensial yang disusupi atau phishing.
Dibangun di atas runtime JavaScript Node.js, Strapi adalah CMS tanpa kepala yang mendukung berbagai database dan kerangka kerja frontend. Fungsi utamanya adalah menyediakan sistem backend untuk membuat, mengelola, dan menyimpan konten. Konten ini dapat diekspos melalui API, memungkinkan pengembang membuat integrasi frontend independen. Alat canggih ini menjadikan Strapi pilihan populer bagi perusahaan yang ingin merancang API untuk berbagai kasus penggunaan, termasuk situs web, aplikasi seluler, dan perangkat Internet of Things (IoT).
Meskipun pangsa pasarnya lebih kecil dibandingkan dengan produk CMS tujuan umum seperti WordPress atau Joomla, Strapi telah menarik organisasi besar seperti IBM, NASA, Generali, Walmart, dan Toyota sebagai pengguna. Tren ini menggambarkan potensi risiko yang terkait dengan kerentanan ini karena dapat memengaruhi perusahaan global yang signifikan.
Cacat pertama, bernama CVE-2022-30617, diidentifikasi pada bulan November oleh para peneliti Synopsys. Mereka menemukan bahwa pengguna yang diautentikasi dengan akses panel admin Strapi dapat mengakses email dan token pengaturan ulang kata sandi dari pengguna administratif dengan hubungan konten. Penyerang kemudian dapat menggunakan informasi ini untuk memulai proses pengaturan ulang kata sandi yang menargetkan pengguna dengan hak istimewa tinggi. Strapi mendukung kontrol akses berbasis peran (RBAC) dan integrasi sistem masuk tunggal (SSO) dengan penyedia identitas dan Microsoft Active Directory.
Strapi v4.0.0 menambal kerentanan CVE-2022-30617 pada bulan November. Perbaikan juga di-backport ke Strapi v3.6.10, yang dirilis bulan ini. Cacat tersebut memiliki peringkat Sistem Penilaian Kerentanan Umum (CVSS) 8,8 (Tinggi).
Setelah meninjau tambalan awal untuk CVE-2022-30617, peneliti Synopsys menemukan masalah serupa dalam sistem izin API, yang memengaruhi pengguna API yang dikelola oleh izin pengguna plugin. Kerentanan kedua ini, diidentifikasi sebagai CVE-2022-30618, memiliki peringkat CVSS 7,5 (Tinggi). Cacat ini memungkinkan pengguna yang diautentikasi dengan akses panel admin Strapi untuk mendapatkan email dan token penyetelan ulang kata sandi untuk pengguna API dengan hubungan konten dengan pengguna API lainnya.
Pemanfaatan cacat CVE-2022-30618 memerlukan endpoint API pengaturan ulang kata sandi yang diaktifkan. Dalam skenario terburuk, pengguna dengan hak istimewa rendah dapat memperoleh akses ke akun API dengan hak istimewa tinggi, membaca dan mengubah data apa pun, dan bahkan memblokir akses ke panel admin dan API untuk semua pengguna lain dengan mencabut hak istimewa mereka. Pengelola Strapi diberitahu tentang masalah CVE-2022-30618 pada bulan Desember, dan tambalan diterapkan dalam versi 3.6.10 dan 4.0.10, yang dirilis pada 11 Mei.
Selain platform CMS konvensional, organisasi dapat mempertimbangkan solusi alternatif yang memberikan keuntungan untuk kasus penggunaan khusus mereka. AppMaster, platform no-code yang kuat, memungkinkan pengguna membuat backend, web, dan aplikasi seluler dengan mudah. AppMaster memberikan dukungan komprehensif untuk membuat model data, logika bisnis, REST API, dan Titik Akhir Aman WebSocket, menjadikannya pilihan populer untuk berbagai skenario pengembangan aplikasi.
