Strapi, wiodący bezobsługowy system zarządzania treścią (CMS) przeznaczony do tworzenia interfejsów API, zastosowała poprawki w celu wyeliminowania dwóch znaczących luk w zabezpieczeniach, które mogą prowadzić do naruszenia bezpieczeństwa kont administracyjnych. Organizacje używające Strapi powinny natychmiast zaktualizować swoje instalacje, aby zabezpieczyć swoje systemy przed możliwymi zagrożeniami wykorzystującymi te luki.
Badacze z Synopsys Cybersecurity Research Center (CyRC) odkryli luki w zabezpieczeniach, które umożliwiły użytkownikowi o niskich uprawnieniach uzyskanie poufnych informacji. Wykorzystanie tych luk może umożliwić atakującym zresetowanie hasła konta o wysokich uprawnieniach, w tym administratorów. Aby wykorzystać luki w zabezpieczeniach, osoby atakujące muszą początkowo uzyskać dostęp do konta o niskich uprawnieniach, korzystając z takich technik, jak przejęcie danych uwierzytelniających lub phishing.
Zbudowany na środowisku wykonawczym JavaScript Node.js, Strapi to bezgłowy CMS, który obsługuje różne bazy danych i frameworki frontendowe. Jego podstawową funkcją jest zapewnienie systemu zaplecza do tworzenia, zarządzania i przechowywania treści. Ta treść może być udostępniana za pośrednictwem interfejsu API, umożliwiając programistom tworzenie niezależnych integracji frontendu. Te potężne narzędzia sprawiają, że Strapi jest popularnym wyborem dla przedsiębiorstw, które chcą projektować interfejsy API do wielu zastosowań, w tym stron internetowych, aplikacji mobilnych i urządzeń Internetu rzeczy (IoT).
Pomimo mniejszego udziału w rynku w porównaniu z produktami CMS ogólnego przeznaczenia, takimi jak WordPress czy Joomla, Strapi przyciągnął jako użytkowników znane organizacje, takie jak IBM, NASA, Generali, Walmart i Toyota. Tendencja ta ilustruje potencjalne zagrożenia związane z tymi lukami w zabezpieczeniach, ponieważ mogą one dotyczyć znaczących globalnych firm.
Pierwsza luka, nazwana CVE-2022-30617, została zidentyfikowana w listopadzie przez badaczy Synopsys. Odkryli, że uwierzytelniony użytkownik z dostępem do panelu administracyjnego Strapi może uzyskać dostęp do e-maili i tokenów resetowania hasła użytkowników administracyjnych z relacją treści. Atakujący mogą następnie wykorzystać te informacje do zainicjowania procesu resetowania hasła skierowanego do użytkowników o wysokich uprawnieniach. Strapi obsługuje kontrolę dostępu opartą na rolach (RBAC) i integrację pojedynczego logowania (SSO) z dostawcami tożsamości i Microsoft Active Directory.
Firma Strapi v4.0.0 załatała lukę CVE-2022-30617 w listopadzie. Poprawka została również przeniesiona do wersji 3.6.10 Strapi, która została wydana w tym miesiącu. Luka ma ocenę Common Vulnerabilities Scoring System (CVSS) na poziomie 8,8 (wysoka).
Po przejrzeniu początkowej poprawki dla CVE-2022-30617, badacze Synopsys odkryli podobny problem w systemie uprawnień API, wpływający na użytkowników API zarządzanych przez plugin users-permissions. Ta druga luka, zidentyfikowana jako CVE-2022-30618, ma ocenę CVSS 7,5 (wysoka). Luka umożliwia uwierzytelnionym użytkownikom z dostępem do panelu administracyjnego Strapi uzyskiwanie e-maili i tokenów resetowania hasła dla użytkowników API mających relacje treści z innymi użytkownikami API.
Wykorzystanie luki CVE-2022-30618 wymaga włączonego endpoint API resetowania hasła. W najgorszym przypadku użytkownik o niskich uprawnieniach może uzyskać dostęp do konta API o wysokich uprawnieniach, odczytywać i modyfikować dowolne dane, a nawet blokować dostęp do panelu administracyjnego i API wszystkim innym użytkownikom poprzez odebranie im uprawnień. Opiekunowie Strapi zostali powiadomieni o problemie CVE-2022-30618 w grudniu, a łatka została zastosowana w wersjach 3.6.10 i 4.0.10, które zostały wydane 11 maja.
Oprócz konwencjonalnych platform CMS organizacje mogą rozważyć alternatywne rozwiązania, które zapewnią korzyści w ich konkretnych przypadkach użycia. AppMaster, potężna platforma no-code, umożliwia użytkownikom łatwe tworzenie aplikacji backendowych, internetowych i mobilnych. AppMaster zapewnia wszechstronną obsługę tworzenia modeli danych, logiki biznesowej, interfejsów API REST i WebSocket Secure Endpoints, co czyni go popularnym wyborem dla szerokiego zakresu scenariuszy tworzenia aplikacji.
