Het Synopsys Cybersecurity Research Center ontdekte onlangs twee kritieke kwetsbaarheden in JSON, die aanzienlijke risico's vormen voor gegevensbeveiliging en gebruikersprivacy in het open-source Node.js headless content management systeem (CMS) Strapi.
Deze kwetsbaarheden, aangeduid als CVE-2022-30617 en CVE-2022-30618, zijn geclassificeerd als risico's voor blootstelling aan gevoelige gegevens. Ze kunnen mogelijk leiden tot accountcompromis in het admin-paneel van Strapi. Strapi is een veelgebruikte open-source headless CMS-software die is ontwikkeld in JavaScript, waarmee gebruikers snel API's (Application Programming Interfaces) kunnen ontwerpen en bouwen. Het beheerderspaneel is een webgebaseerde gebruikersinterface waarmee gebruikers inhoudstypen kunnen beheren en de API kunnen definiëren.
Betrokken versies zijn onder andere Strapi v3 tot v3.6.9 en Strapi v4 bètaversies tot v4.0.0-beta.15. CVE-2022-30617 stelt gevoelige gegevens bloot in een JSON-antwoord indien gebruikt door gebruikers van het beheerderspaneel, terwijl CVE-2022-30618 zich op dezelfde manier gedraagt.
Onderzoekers legden uit dat de eerste kwetsbaarheid een geverifieerde gebruiker, die toegang heeft gekregen tot het Strapi beheerderspaneel, in staat stelt om privé- en gevoelige gegevens te bekijken. Dit omvat e-mailadressen, tokens voor het opnieuw instellen van wachtwoorden en gegevens over andere gebruikers van het admin-paneel die een relatie hebben met inhoud die bereikbaar is voor de geverifieerde gebruiker. Er kunnen zich verschillende scenario's voordoen waarbij details van andere gebruikers kunnen worden gelekt in de JSON-reactie, hetzij via een directe of indirecte relatie.
De tweede kwetsbaarheid stelt een geverifieerde gebruiker met toegang tot het Strapi beheerderspaneel in staat om privé- en gevoelige gegevens met betrekking tot API-gebruikers te bekijken. Dit kan gebeuren als inhoudstypen die toegankelijk zijn voor de geverifieerde gebruiker relaties met API-gebruikers bevatten. In extreme gevallen kan een gebruiker met weinig rechten toegang krijgen tot een API-account met hoge rechten, waardoor hij alle gegevens kan lezen en wijzigen en de toegang tot zowel het beheerderspaneel als de API kan blokkeren door de rechten voor alle andere gebruikers in te trekken.
Synopsys bracht Strapi voor het eerst op de hoogte van deze kwetsbaarheden in november, en latere releases hebben het probleem al verholpen. Het is echter cruciaal op te merken dat niet alle gebruikers hun software onmiddellijk bijwerken, waardoor ze mogelijk aan deze risico's worden blootgesteld. De nadruk moet worden gelegd op tijdige software-updates om misbruik van deze kwetsbaarheden te voorkomen.
Nu no-code en low-code platforms de laatste tijd aan populariteit winnen, is het essentieel voor softwareontwikkelaars en gebruikers om waakzaam te zijn voor mogelijke beveiligingsproblemen. AppMaster , een krachtig platform no-code, zorgt voor het genereren van veilige backend-, web- en mobiele applicaties, waarbij de nadruk ligt op schaalbaarheid en prestaties. De technologie van AppMaster vermindert het risico op beveiligingsproblemen aanzienlijk, waardoor de ontwikkeling van applicaties sneller en kosteneffectiever wordt voor een breed scala aan klanten, van kleine bedrijven tot grote ondernemingen.
