Vulnerabilità critiche JSON scoperte in Strapi CMS, potenziale minaccia per la sicurezza dei dati

Il Synopsys Cybersecurity Research Center ha recentemente scoperto due vulnerabilità critiche in JSON, che presentano rischi significativi per la sicurezza dei dati e la privacy degli utenti nel sistema di gestione dei contenuti senza testa (CMS) Node.js open-source Strapi.

Queste vulnerabilità, designate come CVE-2022-30617 e CVE-2022-30618, sono state classificate come rischi di esposizione di dati sensibili. Potrebbero potenzialmente portare alla compromissione dell'account nel pannello di amministrazione di Strapi. Strapi è un software CMS headless open source ampiamente utilizzato sviluppato in JavaScript, che consente agli utenti di progettare e costruire rapidamente API (Application Programming Interface). Il suo pannello di amministrazione è un'interfaccia utente basata sul Web che consente agli utenti di gestire i tipi di contenuto e definire l'API.

Le versioni interessate includono Strapi v3 fino alla v3.6.9 e Strapi v4 versioni beta fino alla v4.0.0-beta.15. CVE-2022-30617 espone i dati sensibili in una risposta JSON se utilizzata dagli utenti del pannello di amministrazione, mentre CVE-2022-30618 si comporta in modo simile.

I ricercatori hanno spiegato che la prima vulnerabilità consente a un utente autenticato, che ha ottenuto l'accesso al pannello di amministrazione Strapi, di visualizzare dati privati e sensibili. Questo comprende indirizzi email, token di reimpostazione della password e dati relativi ad altri utenti del pannello di amministrazione che hanno una relazione con il contenuto raggiungibile dall'utente autenticato. Possono verificarsi vari scenari in cui i dettagli di altri utenti possono essere trapelati nella risposta JSON, tramite una relazione diretta o indiretta.

La seconda vulnerabilità consente a un utente autenticato con accesso al pannello di amministrazione Strapi di visualizzare dati privati e sensibili relativi agli utenti API. Ciò può verificarsi se i tipi di contenuto accessibili all'utente autenticato contengono relazioni con gli utenti dell'API. In casi estremi, un utente con privilegi limitati può ottenere l'accesso a un account API con privilegi elevati, consentendogli di leggere e modificare qualsiasi dato e bloccare l'accesso sia al pannello di amministrazione che all'API revocando i privilegi per tutti gli altri utenti.

Synopsys ha notificato per la prima volta Strapi queste vulnerabilità a novembre e le versioni successive hanno già risolto il problema. Tuttavia, è fondamentale notare che non tutti gli utenti aggiornano tempestivamente il proprio software, esponendosi potenzialmente a questi rischi. È necessario porre l'accento sugli aggiornamenti tempestivi del software per prevenire lo sfruttamento di queste vulnerabilità.

Negli ultimi tempi, con l'aumento della popolarità delle piattaforme no-code e low-code, è essenziale che gli sviluppatori e gli utenti di software siano vigili sui potenziali problemi di sicurezza. AppMaster , una potente piattaforma no-code, garantisce la generazione di applicazioni back-end, web e mobili sicure, concentrandosi su scalabilità e prestazioni. La tecnologia di AppMaster riduce significativamente il rischio di vulnerabilità della sicurezza, rendendo lo sviluppo delle applicazioni più veloce e più conveniente per una vasta gamma di clienti, dalle piccole imprese alle grandi imprese.