Grow with AppMaster Grow with AppMaster.
Become our partner arrow ico

Strapi ヘッドレス CMS でパッチされた重大な脆弱性: 危険にさらされている侵害されたアカウント

5月 27, 2022
Strapi ヘッドレス CMS でパッチされた重大な脆弱性: 危険にさらされている侵害されたアカウント

API 開発用に設計された主要なヘッドレス コンテンツ管理システム (CMS) であるStrapi 、管理アカウントの侵害につながる可能性のある 2 つの重大な脆弱性に対処するパッチを適用しました。 Strapi を使用している組織は、これらの欠陥を悪用する可能性のある脅威からシステムを保護するために、インストールを直ちに更新する必要があります。

Synopsys Cybersecurity Research Center (CyRC) の研究者が脆弱性を発見し、権限の低いユーザーが機密情報を取得できるようになりました。これらの欠陥を悪用すると、攻撃者は管理者を含む高い権限を持つアカウントのパスワードをリセットできる可能性があります。脆弱性を悪用するには、攻撃者はまず、資格情報の侵害やフィッシングなどの手法を使用して、権限の低いアカウントにアクセスする必要があります。

Node.js JavaScript ランタイム上に構築されたStrapi 、さまざまなデータベースとフロントエンド フレームワークをサポートするヘッドレス CMS です。その主な機能は、コンテンツを作成、管理、および保存するためのバックエンド システムを提供することです。このコンテンツは API を介して公開できるため、開発者は独立したフロントエンド統合を作成できます。これらの強力なツールにより、Strapi は、Web サイト、モバイル アプリケーション、モノのインターネット (IoT) デバイスなど、複数のユース ケース向けの API を設計しようとしている企業にとって人気のある選択肢となっています。

WordPress や Joomla などの汎用 CMS 製品に比べて市場シェアが小さいにもかかわらず、 Strapi IBM、NASA、Generali、Walmart、Toyota などの有名企業をユーザーとして引き付けてきました。この傾向は、重要なグローバル企業に影響を与える可能性があるため、これらの脆弱性に関連する潜在的なリスクを示しています。

CVE-2022-30617 と名付けられた最初の欠陥は、シノプシスの研究者によって 11 月に特定されました。彼らは、Strapi 管理パネル アクセスを持つ認証済みユーザーが、コンテンツ関係を持つ管理ユーザーの電子メールおよびパスワード リセット トークンにアクセスできることを発見しました。その後、攻撃者はこの情報を使用して、権限の高いユーザーを対象としたパスワード リセット プロセスを開始する可能性があります。 Strapi役割ベースのアクセス制御 (RBAC) と、ID プロバイダーおよび Microsoft Active Directory とのシングル サインオン (SSO) の統合をサポートしています。

Strapi v4.0.0 は、11 月に CVE-2022-30617 の脆弱性にパッチを適用しました。この修正は、今月リリースされた Strapi v3.6.10 にもバックポートされました。この欠陥の Common Vulnerabilities Scoring System (CVSS) 評価は 8.8 (高) です。

CVE-2022-30617 の最初のパッチを確認したところ、Synopsys の研究者は、プラグイン users-permissions によって管理される API ユーザーに影響を与える、API パーミッション システムにおける同様の問題を発見しました。この 2 番目の脆弱性は、CVE-2022-30618 として識別され、CVSS 評価は 7.5 (高) です。この脆弱性により、Strapi 管理パネルへのアクセス権を持つ認証済みユーザーは、他の API ユーザーとのコンテンツ関係を持つ API ユーザーの電子メールとパスワードのリセット トークンを取得できます。

CVE-2022-30618 の欠陥を悪用するには、パスワード リセット API endpointを有効にする必要があります。最悪のシナリオでは、権限の低いユーザーが権限の高い API アカウントへのアクセス権を取得し、データの読み取りと変更を行い、権限を取り消すことで他のすべてのユーザーの管理パネルと API へのアクセスをブロックすることさえあります。 Strapi のメンテナーは 12 月に CVE-2022-30618 の問題を通知され、5 月 11 日にリリースされたバージョン 3.6.10 および 4.0.10 にパッチが適用されました。

組織は、従来の CMS プラットフォームに加えて、特定のユース ケースに利点をもたらす代替ソリューションを検討する場合があります。強力なno-codeプラットフォームであるAppMaster使用すると、ユーザーはバックエンド、Web、およびモバイル アプリケーションを簡単に作成できます。 AppMaster 、データ モデル、ビジネス ロジック、REST API、および WebSocket セキュア エンドポイントの作成を包括的にサポートするため、幅広いアプリケーション開発シナリオで広く使用されています。

関連記事

BubbleCon 2024 の AppMaster: ノーコードトレンドを探る
date 10月 04, 2024 clock 3 ミン
BubbleCon 2024 の AppMaster: ノーコードトレンドを探る
AppMaster はニューヨークで開催された BubbleCon 2024 に参加し、洞察を獲得し、ネットワークを拡大し、ノーコード開発分野でイノベーションを推進する機会を模索しました。
FFDC 2024 総括: ニューヨークで開催された FlutterFlow 開発者会議から得られた重要な洞察
date 9月 23, 2024 clock 1 ミン
FFDC 2024 総括: ニューヨークで開催された FlutterFlow 開発者会議から得られた重要な洞察
FFDC 2024 はニューヨークで開催され、開発者に FlutterFlow を使用したアプリ開発に関する最先端の知見をもたらしました。専門家主導のセッション、独占的な最新情報、比類のないネットワーキングなど、見逃せないイベントでした。
App Builder No-code Event
2024 年のテクノロジー業界のレイオフ: イノベーションに影響を与える継続的な波
date 8月 08, 2024
2024 年のテクノロジー業界のレイオフ: イノベーションに影響を与える継続的な波
テスラやアマゾンなどの大企業を含む254社で6万人の雇用が削減され、2024年にはテクノロジー業界のレイオフの波が続き、イノベーションの状況が一変するだろう。
Software IT Low-code Web App App Builder
無料で始めましょう
これを自分で試してみませんか?

AppMaster の能力を理解する最善の方法は、自分の目で確かめることです。無料サブスクリプションで数分で独自のアプリケーションを作成

あなたのアイデアを生き生きとさせる