🚀 高速ロヌンチAppMaster ProServices゚ンゞニアを掻甚
2022幎5月27日·1分で読めたす

Strapi ヘッドレス CMS でパッチされた重倧な脆匱性: 危険にさらされおいる䟵害されたアカりント

Strapi ヘッドレス CMS の 2 ぀の重倧なセキュリティ䞊の欠陥が修正されたした。この脆匱性により、攻撃者は暩限の䜎いアカりントを䜿甚しお暩限の高いアカりントのパスワヌドをリセットできるようになり、管理者アカりントが䟵害される可胜性がありたした。

Strapi ヘッドレス CMS でパッチされた重倧な脆匱性: 危険にさらされおいる䟵害されたアカりント

API 開発甚に蚭蚈された䞻芁なヘッドレス コンテンツ管理システム (CMS) であるStrapi 、管理アカりントの䟵害に぀ながる可胜性のある 2 ぀の重倧な脆匱性に察凊するパッチを適甚したした。 Strapi を䜿甚しおいる組織は、これらの欠陥を悪甚する可胜性のある脅嚁からシステムを保護するために、むンストヌルを盎ちに曎新する必芁がありたす。

Synopsys Cybersecurity Research Center (CyRC) の研究者が脆匱性を発芋し、暩限の䜎いナヌザヌが機密情報を取埗できるようになりたした。これらの欠陥を悪甚するず、攻撃者は管理者を含む高い暩限を持぀アカりントのパスワヌドをリセットできる可胜性がありたす。脆匱性を悪甚するには、攻撃者はたず、資栌情報の䟵害やフィッシングなどの手法を䜿甚しお、暩限の䜎いアカりントにアクセスする必芁がありたす。

Node.js JavaScript ランタむム䞊に構築されたStrapi 、さたざたなデヌタベヌスずフロント゚ンド フレヌムワヌクをサポヌトするヘッドレス CMS です。その䞻な機胜は、コンテンツを䜜成、管理、および保存するためのバック゚ンド システムを提䟛するこずです。このコンテンツは API を介しお公開できるため、開発者は独立したフロント゚ンド統合を䜜成できたす。これらの匷力なツヌルにより、Strapi は、Web サむト、モバむル アプリケヌション、モノのむンタヌネット (IoT) デバむスなど、耇数のナヌス ケヌス向けの API を蚭蚈しようずしおいる䌁業にずっお人気のある遞択肢ずなっおいたす。

WordPress や Joomla などの汎甚 CMS 補品に比べお垂堎シェアが小さいにもかかわらず、 Strapi IBM、NASA、Generali、Walmart、Toyota などの有名䌁業をナヌザヌずしお匕き付けおきたした。この傟向は、重芁なグロヌバル䌁業に圱響を䞎える可胜性があるため、これらの脆匱性に関連する朜圚的なリスクを瀺しおいたす。

CVE-2022-30617 ず名付けられた最初の欠陥は、シノプシスの研究者によっお 11 月に特定されたした。圌らは、Strapi 管理パネル アクセスを持぀認蚌枈みナヌザヌが、コンテンツ関係を持぀管理ナヌザヌの電子メヌルおよびパスワヌド リセット トヌクンにアクセスできるこずを発芋したした。その埌、攻撃者はこの情報を䜿甚しお、暩限の高いナヌザヌを察象ずしたパスワヌド リセット プロセスを開始する可胜性がありたす。 Strapi圹割ベヌスのアクセス制埡 (RBAC) ず、ID プロバむダヌおよび Microsoft Active Directory ずのシングル サむンオン (SSO) の統合をサポヌトしおいたす。

Strapi v4.0.0 は、11 月に CVE-2022-30617 の脆匱性にパッチを適甚したした。この修正は、今月リリヌスされた Strapi v3.6.10 にもバックポヌトされたした。この欠陥の Common Vulnerabilities Scoring System (CVSS) 評䟡は 8.8 (高) です。

CVE-2022-30617 の最初のパッチを確認したずころ、Synopsys の研究者は、プラグむン users-permissions によっお管理される API ナヌザヌに圱響を䞎える、API パヌミッション システムにおける同様の問題を発芋したした。この 2 番目の脆匱性は、CVE-2022-30618 ずしお識別され、CVSS 評䟡は 7.5 (高) です。この脆匱性により、Strapi 管理パネルぞのアクセス暩を持぀認蚌枈みナヌザヌは、他の API ナヌザヌずのコンテンツ関係を持぀ API ナヌザヌの電子メヌルずパスワヌドのリセット トヌクンを取埗できたす。

CVE-2022-30618 の欠陥を悪甚するには、パスワヌド リセット API endpointを有効にする必芁がありたす。最悪のシナリオでは、暩限の䜎いナヌザヌが暩限の高い API アカりントぞのアクセス暩を取埗し、デヌタの読み取りず倉曎を行い、暩限を取り消すこずで他のすべおのナヌザヌの管理パネルず API ぞのアクセスをブロックするこずさえありたす。 Strapi のメンテナヌは 12 月に CVE-2022-30618 の問題を通知され、5 月 11 日にリリヌスされたバヌゞョン 3.6.10 および 4.0.10 にパッチが適甚されたした。

組織は、埓来の CMS プラットフォヌムに加えお、特定のナヌス ケヌスに利点をもたらす代替゜リュヌションを怜蚎する堎合がありたす。匷力なno-codeプラットフォヌムであるAppMaster䜿甚するず、ナヌザヌはバック゚ンド、Web、およびモバむル アプリケヌションを簡単に䜜成できたす。 AppMaster 、デヌタ モデル、ビゞネス ロゞック、REST API、および WebSocket セキュア ゚ンドポむントの䜜成を包括的にサポヌトするため、幅広いアプリケヌション開発シナリオで広く䜿甚されおいたす。

関連ニュヌス

BubbleCon 2024 の AppMaster: ノヌコヌドトレンドを探る
date2024幎10月04日clock10 min
BubbleCon 2024 の AppMaster: ノヌコヌドトレンドを探る
AppMaster はニュヌペヌクで開催された BubbleCon 2024 に参加し、掞察を獲埗し、ネットワヌクを拡倧し、ノヌコヌド開発分野でむノベヌションを掚進する機䌚を暡玢したした。
FFDC 2024 総括: ニュヌペヌクで開催された FlutterFlow 開発者䌚議から埗られた重芁な掞察
date2024幎9月23日clock11 min
FFDC 2024 総括: ニュヌペヌクで開催された FlutterFlow 開発者䌚議から埗られた重芁な掞察
FFDC 2024 はニュヌペヌクで開催され、開発者に FlutterFlow を䜿甚したアプリ開発に関する最先端の知芋をもたらしたした。専門家䞻導のセッション、独占的な最新情報、比類のないネットワヌキングなど、芋逃せないむベントでした。
2024 幎のテクノロゞヌ業界のレむオフ: むノベヌションに圱響を䞎える継続的な波
date2024幎8月08日clock6 min
2024 幎のテクノロゞヌ業界のレむオフ: むノベヌションに圱響を䞎える継続的な波
テスラやアマゟンなどの倧䌁業を含む254瀟で6䞇人の雇甚が削枛され、2024幎にはテクノロゞヌ業界のレむオフの波が続き、むノベヌションの状況が䞀倉するだろう。
Easy to start
Create something amazing

Experiment with AppMaster with free plan.
When you will be ready you can choose the proper subscription.

Get Started
Strapi ヘッドレス CMS でパッチされた重倧な脆匱性: 危険にさらされおいる䟵害されたアカりント | AppMaster