Synopsys Cybersecurity Research Center는 최근 JSON에서 오픈 소스 Node.js 헤드리스 콘텐츠 관리 시스템(CMS) Strapi 에서 데이터 보안 및 사용자 개인 정보 보호에 심각한 위험을 초래하는 두 가지 치명적인 취약점을 발견했습니다.
CVE-2022-30617 및 CVE-2022-30618로 지정된 이러한 취약점은 민감한 데이터 노출 위험으로 분류되었습니다. 그들은 잠재적으로 Strapi 의 관리자 패널에서 계정 손상으로 이어질 수 있습니다. Strapi 는 JavaScript로 개발된 널리 사용되는 오픈 소스 헤드리스 CMS 소프트웨어로, 사용자가 API(애플리케이션 프로그래밍 인터페이스)를 빠르게 설계하고 구성할 수 있도록 합니다. 관리자 패널은 사용자가 콘텐츠 유형을 관리하고 API를 정의할 수 있는 웹 기반 사용자 인터페이스입니다.
영향을 받는 버전에는 최대 v3.6.9까지의 Strapi v3 및 최대 v4.0.0-beta.15의 Strapi v4 베타 버전이 포함됩니다. CVE-2022-30617은 관리자 패널 사용자가 사용하는 경우 JSON 응답에 민감한 데이터를 노출하는 반면 CVE-2022-30618은 유사하게 작동합니다.
연구원들은 첫 번째 취약점으로 인해 Strapi 관리자 패널에 액세스할 수 있는 인증된 사용자가 개인 데이터와 민감한 데이터를 볼 수 있다고 설명했습니다. 여기에는 이메일 주소, 암호 재설정 토큰 및 인증된 사용자가 도달할 수 있는 콘텐츠와 관계가 있는 다른 관리자 패널 사용자에 관한 데이터가 포함됩니다. 직간접적인 관계를 통해 JSON 응답에서 다른 사용자의 세부 정보가 유출될 수 있는 다양한 시나리오가 발생할 수 있습니다.
두 번째 취약점은 Strapi 관리자 패널에 대한 액세스 권한이 있는 인증된 사용자가 API 사용자와 관련된 개인 및 민감한 데이터를 볼 수 있도록 합니다. 이는 인증된 사용자가 액세스할 수 있는 콘텐츠 유형에 API 사용자와의 관계가 포함된 경우에 발생할 수 있습니다. 극단적인 경우 권한이 낮은 사용자가 권한이 높은 API 계정에 액세스하여 모든 데이터를 읽고 수정할 수 있으며 다른 모든 사용자의 권한을 취소하여 관리자 패널과 API에 대한 액세스를 차단할 수 있습니다.
Synopsys는 11월에 이러한 취약점을 처음으로 Strapi 에 알렸고 후속 릴리스에서 이미 이 문제를 해결했습니다. 그러나 모든 사용자가 소프트웨어를 즉시 업데이트하는 것은 아니므로 잠재적으로 이러한 위험에 노출될 수 있다는 점에 유의해야 합니다. 이러한 취약점의 악용을 방지하기 위해 시기 적절한 소프트웨어 업데이트에 중점을 두어야 합니다.
최근 no-code 및 low-code 플랫폼이 인기를 끌면서 소프트웨어 개발자와 사용자가 잠재적인 보안 문제에 대해 경계하는 것이 필수적입니다. no-code 강력한 플랫폼인 AppMaster 확장성과 성능에 중점을 둔 안전한 백엔드, 웹 및 모바일 애플리케이션의 생성을 보장합니다. AppMaster의 기술은 보안 취약점의 위험을 크게 줄여 중소기업에서 대기업에 이르는 광범위한 고객을 위해 애플리케이션 개발을 더 빠르고 비용 효율적으로 만듭니다.
