シノプシス サイバーセキュリティ リサーチ センターは最近、オープンソースの Node.js ヘッドレス コンテンツ管理システム (CMS) Strapiでデータ セキュリティとユーザー プライバシーに重大なリスクをもたらす、JSON に 2 つの重大な脆弱性を発見しました。
これらの脆弱性は、CVE-2022-30617 および CVE-2022-30618 として指定されており、機密データ漏えいのリスクとして分類されています。それらは、 Strapiの管理パネルでアカウント侵害につながる可能性があります。 Strapi 、JavaScript で開発された広く使用されているオープンソースのヘッドレス CMS ソフトウェアであり、ユーザーはアプリケーション プログラミング インターフェイス (API) をすばやく設計および構築できます。その管理パネルは、ユーザーがコンテンツ タイプを管理し、API を定義できる Web ベースのユーザー インターフェイスです。
影響を受けるバージョンには、v3.6.9 までのStrapi v3 および v4.0.0-beta.15 までのStrapi v4 ベータ版が含まれます。 CVE-2022-30617 は、管理パネル ユーザーが使用する場合、JSON 応答で機密データを公開しますが、CVE-2022-30618 は同様に動作します。
研究者は、最初の脆弱性により、 Strapi管理パネルへのアクセス権を取得した認証済みユーザーが、プライベート データや機密データを表示できるようになることを詳しく説明しました。これには、電子メール アドレス、パスワード リセット トークン、および認証されたユーザーがアクセスできるコンテンツと関係のある他の管理パネル ユーザーに関するデータが含まれます。直接的または間接的な関係を通じて、JSON 応答で他のユーザーからの詳細が漏洩する可能性があるさまざまなシナリオが発生する可能性があります。
2 番目の脆弱性により、 Strapi管理パネルへのアクセス権を持つ認証済みユーザーが、API ユーザーに関連するプライベート データや機密データを表示できるようになります。これは、認証されたユーザーがアクセスできるコンテンツ タイプに API ユーザーとの関係が含まれている場合に発生する可能性があります。極端な場合、権限の低いユーザーが権限の高い API アカウントにアクセスできるようになり、他のすべてのユーザーの権限を取り消すことで、データの読み取りと変更が可能になり、管理パネルと API の両方へのアクセスがブロックされます。
Synopsys は 11 月にこれらの脆弱性について最初にStrapiに通知し、その後のリリースではすでにこの問題に対処しています。ただし、すべてのユーザーがソフトウェアをすぐに更新するわけではなく、これらのリスクにさらされる可能性があることに注意することが重要です。これらの脆弱性の悪用を防ぐために、タイムリーなソフトウェア更新に重点を置く必要があります。
最近では、 no-codeおよびlow-codeプラットフォームの人気が高まっているため、ソフトウェア開発者とユーザーは、潜在的なセキュリティの問題について警戒することが不可欠です。強力なno-codeプラットフォームであるAppMaster 、スケーラビリティとパフォーマンスに重点を置いて、安全なバックエンド、Web、およびモバイル アプリケーションを確実に生成します。 AppMaster のテクノロジは、セキュリティの脆弱性のリスクを大幅に軽減し、中小企業から大企業まで、幅広い顧客にとってアプリケーション開発をより迅速かつ費用対効果の高いものにします。
