Synopsys Cybersecurity Research Center wykryło niedawno dwie krytyczne luki w JSON, stwarzające poważne zagrożenie dla bezpieczeństwa danych i prywatności użytkowników w otwartym systemie zarządzania treścią Node.js Headless Content Management System (CMS) Strapi.
Luki te, oznaczone jako CVE-2022-30617 i CVE-2022-30618, zostały sklasyfikowane jako zagrożenia związane z narażeniem danych wrażliwych. Mogą one potencjalnie doprowadzić do naruszenia bezpieczeństwa konta w panelu administracyjnym Strapi. Strapi to szeroko stosowane, bezgłowe oprogramowanie CMS o otwartym kodzie źródłowym, opracowane w języku JavaScript, umożliwiające użytkownikom szybkie projektowanie i tworzenie interfejsów programowania aplikacji (API). Jego panel administracyjny to internetowy interfejs użytkownika, który umożliwia użytkownikom zarządzanie typami treści i definiowanie interfejsu API.
Wersje, których dotyczy problem, obejmują wersje Strapi v3 do wersji 3.6.9 i wersje beta Strapi v4 do wersji 4.0.0-beta.15. CVE-2022-30617 ujawnia poufne dane w odpowiedzi JSON, jeśli są używane przez użytkowników panelu administracyjnego, podczas gdy CVE-2022-30618 zachowuje się podobnie.
Badacze ustalili, że pierwsza luka umożliwia uwierzytelnionemu użytkownikowi, który uzyskał dostęp do panelu administracyjnego Strapi, przeglądanie prywatnych i wrażliwych danych. Obejmuje to adresy e-mail, tokeny resetowania hasła oraz dane dotyczące innych użytkowników panelu administracyjnego, którzy mają związek z treściami dostępnymi dla uwierzytelnionego użytkownika. Mogą wystąpić różne scenariusze, w których szczegóły od innych użytkowników mogą zostać ujawnione w odpowiedzi JSON, poprzez bezpośrednią lub pośrednią relację.
Druga luka umożliwia uwierzytelnionemu użytkownikowi z dostępem do panelu administracyjnego Strapi przeglądanie prywatnych i wrażliwych danych związanych z użytkownikami API. Może się tak zdarzyć, jeśli typy zawartości dostępne dla uwierzytelnionego użytkownika zawierają relacje z użytkownikami interfejsu API. W skrajnych przypadkach użytkownik o niskich uprawnieniach może uzyskać dostęp do konta API o wysokich uprawnieniach, co pozwala mu na odczyt i modyfikację dowolnych danych oraz zablokowanie dostępu zarówno do panelu administracyjnego, jak i API poprzez odebranie uprawnień wszystkim pozostałym użytkownikom.
Synopsys po raz pierwszy powiadomił Strapi o tych lukach w listopadzie, a kolejne wydania już rozwiązały ten problem. Należy jednak zauważyć, że nie wszyscy użytkownicy szybko aktualizują swoje oprogramowanie, co potencjalnie naraża ich na takie zagrożenia. Należy położyć nacisk na terminowe aktualizacje oprogramowania, aby zapobiec wykorzystaniu tych luk.
W ostatnim czasie, gdy platformy no-code i low-code zyskują na popularności, twórcy oprogramowania i użytkownicy muszą zachować czujność w zakresie potencjalnych problemów z bezpieczeństwem. AppMaster , potężna platforma no-code, zapewnia generowanie bezpiecznych aplikacji backendowych, internetowych i mobilnych, koncentrując się na skalowalności i wydajności. Technologia AppMaster znacznie zmniejsza ryzyko wystąpienia luk w zabezpieczeniach, dzięki czemu tworzenie aplikacji jest szybsze i tańsze dla szerokiego grona klientów, od małych firm po przedsiębiorstwa.
