API 개발을 위해 설계된 선도적인 헤드리스 콘텐츠 관리 시스템(CMS) Strapi 관리 계정의 손상으로 이어질 수 있는 두 가지 중요한 취약점을 해결하기 위해 패치를 적용했습니다. Strapi를 사용하는 조직은 이러한 결함을 악용할 수 있는 위협으로부터 시스템을 보호하기 위해 즉시 설치를 업데이트해야 합니다.
Synopsys Cybersecurity Research Center(CyRC)의 연구원들은 권한이 낮은 사용자가 중요한 정보를 얻을 수 있는 취약점을 발견했습니다. 이러한 결함을 악용하면 공격자가 관리자를 포함하여 높은 권한 계정의 암호를 재설정할 수 있습니다. 이 취약점을 악용하기 위해 공격자는 먼저 손상된 자격 증명 또는 피싱과 같은 기술을 사용하여 권한이 낮은 계정에 대한 액세스 권한을 얻어야 합니다.
Node.js JavaScript 런타임에 구축된 Strapi 다양한 데이터베이스 및 프런트엔드 프레임워크를 지원하는 헤드리스 CMS입니다. 주요 기능은 콘텐츠 생성, 관리 및 저장을 위한 백엔드 시스템을 제공하는 것입니다. 이 콘텐츠는 API를 통해 노출될 수 있으므로 개발자가 독립적인 프런트엔드 통합을 만들 수 있습니다. 이러한 강력한 도구 덕분에 Strapi는 웹 사이트, 모바일 애플리케이션 및 사물 인터넷(IoT) 장치를 비롯한 다양한 사용 사례를 위한 API를 설계하려는 기업에게 인기 있는 선택입니다.
WordPress 또는 Joomla와 같은 범용 CMS 제품에 비해 시장 점유율이 낮음에도 불구하고 Strapi IBM, NASA, Generali, Walmart 및 Toyota와 같은 유명 조직을 사용자로 끌어 들였습니다. 이러한 추세는 이러한 취약점이 주요 글로벌 기업에 영향을 미칠 수 있으므로 이와 관련된 잠재적 위험을 보여줍니다.
CVE-2022-30617로 명명된 첫 번째 결함은 Synopsys 연구원이 11월에 식별했습니다. 그들은 Strapi 관리자 패널 액세스 권한이 있는 인증된 사용자가 콘텐츠 관계가 있는 관리자의 이메일 및 암호 재설정 토큰에 액세스할 수 있음을 발견했습니다. 그런 다음 공격자는 이 정보를 사용하여 권한이 높은 사용자를 대상으로 암호 재설정 프로세스를 시작할 수 있습니다. Strapi ID 공급자 및 Microsoft Active Directory와의 역할 기반 액세스 제어(RBAC) 및 SSO(Single Sign-On) 통합을 지원합니다.
Strapi v4.0.0은 11월에 CVE-2022-30617 취약점을 패치했습니다. 이 수정 사항은 이번 달에 릴리스된 Strapi v3.6.10에도 백포트되었습니다. 이 결함의 CVSS(Common Vulnerabilities Scoring System) 등급은 8.8(높음)입니다.
Synopsys 연구원은 CVE-2022-30617에 대한 초기 패치를 검토하면서 플러그인 사용자 권한으로 관리되는 API 사용자에게 영향을 미치는 API 권한 시스템에서 유사한 문제를 발견했습니다. CVE-2022-30618로 식별된 이 두 번째 취약점은 CVSS 등급이 7.5(높음)입니다. 이 결함으로 인해 Strapi 관리자 패널 액세스 권한이 있는 인증된 사용자가 다른 API 사용자와 콘텐츠 관계가 있는 API 사용자의 이메일 및 암호 재설정 토큰을 얻을 수 있습니다.
CVE-2022-30618 결함을 악용하려면 활성화된 비밀번호 재설정 API endpoint 가 필요합니다. 최악의 시나리오에서는 권한이 낮은 사용자가 권한이 높은 API 계정에 액세스하고 데이터를 읽고 수정하며 다른 모든 사용자의 권한을 취소하여 관리자 패널 및 API에 대한 액세스를 차단할 수도 있습니다. 12월에 Strapi 메인테이너에게 CVE-2022-30618 문제를 통보했으며, 패치는 5월 11일에 릴리스된 3.6.10 및 4.0.10 버전에 적용되었습니다.
기존 CMS 플랫폼 외에도 조직은 특정 사용 사례에 이점을 제공하는 대체 솔루션을 고려할 수 있습니다. no-code 강력한 플랫폼인 AppMaster 사용하면 사용자가 백엔드, 웹 및 모바일 애플리케이션을 쉽게 만들 수 있습니다. AppMaster 데이터 모델, 비즈니스 로직, REST API 및 WebSocket 보안 엔드포인트 생성을 위한 포괄적인 지원을 제공하므로 광범위한 애플리케이션 개발 시나리오에서 널리 사용됩니다.
