Strapi, uno dei principali sistemi di gestione dei contenuti senza testa (CMS) progettato per lo sviluppo di API, ha applicato patch per affrontare due vulnerabilità significative che potrebbero portare alla compromissione degli account amministrativi. Le organizzazioni che utilizzano Strapi dovrebbero aggiornare immediatamente le proprie installazioni per proteggere i propri sistemi da possibili minacce che sfruttano questi difetti.
I ricercatori del Synopsys Cybersecurity Research Center (CyRC) hanno scoperto le vulnerabilità, che hanno consentito a un utente con privilegi limitati di ottenere informazioni sensibili. Lo sfruttamento di questi difetti potrebbe consentire agli aggressori di reimpostare la password di un account con privilegi elevati, inclusi gli amministratori. Per sfruttare le vulnerabilità, gli aggressori devono inizialmente ottenere l'accesso a un account con privilegi limitati utilizzando tecniche come credenziali compromesse o phishing.
Costruito sul runtime JavaScript di Node.js, Strapi è un CMS headless che supporta vari database e framework frontend. La sua funzione principale è fornire un sistema di back-end per la creazione, la gestione e l'archiviazione dei contenuti. Questo contenuto può essere esposto tramite un'API, consentendo agli sviluppatori di creare integrazioni front-end indipendenti. Questi potenti strumenti rendono Strapi una scelta popolare per le aziende che desiderano progettare API per molteplici casi d'uso, inclusi siti Web, applicazioni mobili e dispositivi Internet of Things (IoT).
Nonostante la sua quota di mercato inferiore rispetto ai prodotti CMS generici come WordPress o Joomla, Strapi ha attratto come utenti organizzazioni di grandi nomi come IBM, NASA, Generali, Walmart e Toyota. Questa tendenza illustra i potenziali rischi associati a queste vulnerabilità in quanto possono interessare importanti aziende globali.
Il primo difetto, denominato CVE-2022-30617, è stato identificato a novembre dai ricercatori di Synopsys. Hanno scoperto che un utente autenticato con accesso al pannello di amministrazione di Strapi poteva accedere all'e-mail e ai token di reimpostazione della password degli utenti amministrativi con una relazione di contenuto. Gli aggressori potrebbero quindi utilizzare queste informazioni per avviare un processo di reimpostazione della password rivolto agli utenti con privilegi elevati. Strapi supporta il controllo degli accessi in base al ruolo (RBAC) e l'integrazione single sign-on (SSO) con provider di identità e Microsoft Active Directory.
Strapi v4.0.0 ha corretto la vulnerabilità CVE-2022-30617 a novembre. La correzione è stata anche trasferita a Strapi v3.6.10, che è stata rilasciata questo mese. Il difetto ha un punteggio CVSS (Common Vulnerabilities Scoring System) di 8,8 (Alto).
Dopo aver esaminato la patch iniziale per CVE-2022-30617, i ricercatori di Synopsys hanno scoperto un problema simile nel sistema di autorizzazioni API, che interessava gli utenti API gestiti dal plug-in user-permissions. Questa seconda vulnerabilità, identificata come CVE-2022-30618, ha un punteggio CVSS di 7,5 (alto). Il difetto consente agli utenti autenticati con accesso al pannello di amministrazione di Strapi di ottenere token di reimpostazione di email e password per utenti API con relazioni di contenuto con altri utenti API.
Lo sfruttamento del difetto CVE-2022-30618 richiede un endpoint API per la reimpostazione della password abilitato. Nella peggiore delle ipotesi, un utente con privilegi limitati potrebbe ottenere l'accesso a un account API con privilegi elevati, leggere e modificare qualsiasi dato e persino bloccare l'accesso al pannello di amministrazione e all'API per tutti gli altri utenti revocando i propri privilegi. I manutentori di Strapi sono stati informati del problema CVE-2022-30618 a dicembre e la patch è stata applicata nelle versioni 3.6.10 e 4.0.10, che sono state rilasciate l'11 maggio.
Oltre alle piattaforme CMS convenzionali, le organizzazioni possono considerare soluzioni alternative che offrono vantaggi per i loro casi d'uso specifici. AppMaster, una potente piattaforma no-code, consente agli utenti di creare facilmente applicazioni back-end, web e mobili. AppMaster fornisce un supporto completo per la creazione di modelli di dati, business logic, API REST e WebSocket Secure Endpoint, rendendolo una scelta popolare per un'ampia gamma di scenari di sviluppo di applicazioni.
