Synopsys Cybersecurity Research Center baru-baru ini menemukan dua kerentanan kritis di JSON, menimbulkan risiko signifikan terhadap keamanan data dan privasi pengguna di sistem manajemen konten (CMS) tanpa kepala Node.js sumber terbuka Strapi.
Kerentanan ini, ditetapkan sebagai CVE-2022-30617 dan CVE-2022-30618, telah diklasifikasikan sebagai risiko paparan data sensitif. Mereka berpotensi menyebabkan kompromi akun di panel admin Strapi. Strapi adalah perangkat lunak CMS tanpa kepala sumber terbuka yang banyak digunakan yang dikembangkan dalam JavaScript, memungkinkan pengguna merancang dan membangun antarmuka pemrograman aplikasi (API) dengan cepat. Panel adminnya adalah antarmuka pengguna berbasis web yang memungkinkan pengguna mengelola jenis konten dan menentukan API.
Versi yang terpengaruh termasuk Strapi v3 hingga v3.6.9 dan versi beta Strapi v4 hingga v4.0.0-beta.15. CVE-2022-30617 memaparkan data sensitif dalam respons JSON jika digunakan oleh pengguna panel admin, sedangkan CVE-2022-30618 berperilaku serupa.
Para peneliti menguraikan bahwa kerentanan pertama memungkinkan pengguna yang diautentikasi, yang telah memperoleh akses ke panel admin Strapi, untuk melihat data pribadi dan sensitif. Ini terdiri dari alamat email, token setel ulang kata sandi, dan data terkait pengguna panel admin lain yang memiliki hubungan dengan konten yang dapat dijangkau oleh pengguna yang diautentikasi. Berbagai skenario dapat terjadi di mana detail dari pengguna lain mungkin bocor dalam respons JSON, baik melalui hubungan langsung maupun tidak langsung.
Kerentanan kedua memungkinkan pengguna terotentikasi dengan akses ke panel admin Strapi untuk melihat data pribadi dan sensitif yang terkait dengan pengguna API. Ini bisa terjadi jika tipe konten yang dapat diakses oleh pengguna yang diautentikasi berisi hubungan dengan pengguna API. Dalam kasus ekstrem, pengguna dengan hak istimewa rendah dapat memperoleh akses ke akun API dengan hak istimewa tinggi, memungkinkan mereka untuk membaca dan mengubah data apa pun dan memblokir akses ke panel admin dan API dengan mencabut hak istimewa untuk semua pengguna lain.
Synopsys pertama kali memberi tahu Strapi tentang kerentanan ini pada bulan November, dan rilis berikutnya telah mengatasi masalah tersebut. Namun, penting untuk diperhatikan bahwa tidak semua pengguna segera memperbarui perangkat lunak mereka, yang berpotensi membuat mereka terpapar risiko ini. Penekanan harus ditempatkan pada pembaruan perangkat lunak tepat waktu untuk mencegah eksploitasi kerentanan ini.
Belakangan ini, karena platform no-code dan low-code semakin populer, penting bagi pengembang perangkat lunak dan pengguna untuk waspada terhadap potensi masalah keamanan. AppMaster , platform no-code yang kuat, memastikan pembuatan aplikasi backend, web, dan seluler yang aman, dengan fokus pada skalabilitas dan kinerja. Teknologi AppMaster secara signifikan mengurangi risiko kerentanan keamanan, membuat pengembangan aplikasi lebih cepat dan lebih hemat biaya untuk berbagai pelanggan, mulai dari usaha kecil hingga perusahaan.
