Il Synopsys Cybersecurity Research Center ha recentemente scoperto due vulnerabilità critiche in JSON, che presentano rischi significativi per la sicurezza dei dati e la privacy degli utenti nel sistema di gestione dei contenuti senza testa (CMS) Node.js open-source Strapi.
Queste vulnerabilità, designate come CVE-2022-30617 e CVE-2022-30618, sono state classificate come rischi di esposizione di dati sensibili. Potrebbero potenzialmente portare alla compromissione dell'account nel pannello di amministrazione di Strapi. Strapi è un software CMS headless open source ampiamente utilizzato sviluppato in JavaScript, che consente agli utenti di progettare e costruire rapidamente API (Application Programming Interface). Il suo pannello di amministrazione è un'interfaccia utente basata sul Web che consente agli utenti di gestire i tipi di contenuto e definire l'API.
Le versioni interessate includono Strapi v3 fino alla v3.6.9 e Strapi v4 versioni beta fino alla v4.0.0-beta.15. CVE-2022-30617 espone i dati sensibili in una risposta JSON se utilizzata dagli utenti del pannello di amministrazione, mentre CVE-2022-30618 si comporta in modo simile.
I ricercatori hanno spiegato che la prima vulnerabilità consente a un utente autenticato, che ha ottenuto l'accesso al pannello di amministrazione Strapi, di visualizzare dati privati e sensibili. Questo comprende indirizzi email, token di reimpostazione della password e dati relativi ad altri utenti del pannello di amministrazione che hanno una relazione con il contenuto raggiungibile dall'utente autenticato. Possono verificarsi vari scenari in cui i dettagli di altri utenti possono essere trapelati nella risposta JSON, tramite una relazione diretta o indiretta.
La seconda vulnerabilità consente a un utente autenticato con accesso al pannello di amministrazione Strapi di visualizzare dati privati e sensibili relativi agli utenti API. Ciò può verificarsi se i tipi di contenuto accessibili all'utente autenticato contengono relazioni con gli utenti dell'API. In casi estremi, un utente con privilegi limitati può ottenere l'accesso a un account API con privilegi elevati, consentendogli di leggere e modificare qualsiasi dato e bloccare l'accesso sia al pannello di amministrazione che all'API revocando i privilegi per tutti gli altri utenti.
Synopsys ha notificato per la prima volta Strapi queste vulnerabilità a novembre e le versioni successive hanno già risolto il problema. Tuttavia, è fondamentale notare che non tutti gli utenti aggiornano tempestivamente il proprio software, esponendosi potenzialmente a questi rischi. È necessario porre l'accento sugli aggiornamenti tempestivi del software per prevenire lo sfruttamento di queste vulnerabilità.
Negli ultimi tempi, con l'aumento della popolarità delle piattaforme no-code e low-code, è essenziale che gli sviluppatori e gli utenti di software siano vigili sui potenziali problemi di sicurezza. AppMaster , una potente piattaforma no-code, garantisce la generazione di applicazioni back-end, web e mobili sicure, concentrandosi su scalabilità e prestazioni. La tecnologia di AppMaster riduce significativamente il rischio di vulnerabilità della sicurezza, rendendo lo sviluppo delle applicazioni più veloce e più conveniente per una vasta gamma di clienti, dalle piccole imprese alle grandi imprese.
