Strapi, um sistema líder de gerenciamento de conteúdo (CMS) sem periféricos projetado para desenvolvimento de API, aplicou patches para resolver duas vulnerabilidades significativas que podem levar ao comprometimento de contas administrativas. As organizações que usam Strapi devem atualizar suas instalações imediatamente para proteger seus sistemas contra possíveis ameaças que exploram essas falhas.
Pesquisadores do Synopsys Cybersecurity Research Center (CyRC) descobriram as vulnerabilidades, que permitiram que um usuário de baixo privilégio obtivesse informações confidenciais. A exploração dessas falhas pode permitir que os invasores redefinam a senha de uma conta de alto privilégio, incluindo administradores. Para explorar as vulnerabilidades, os invasores devem inicialmente obter acesso a uma conta com poucos privilégios usando técnicas como credenciais comprometidas ou phishing.
Construído no tempo de execução do JavaScript Node.js, Strapi é um CMS headless que oferece suporte a vários bancos de dados e estruturas de front-end. Sua função principal é fornecer um sistema de back-end para criar, gerenciar e armazenar conteúdo. Esse conteúdo pode ser exposto por meio de uma API, permitindo que os desenvolvedores criem integrações de front-end independentes. Essas ferramentas poderosas tornam o Strapi uma escolha popular para empresas que buscam projetar APIs para vários casos de uso, incluindo sites, aplicativos móveis e dispositivos de Internet das Coisas (IoT).
Apesar de sua participação de mercado menor em comparação com produtos CMS de uso geral, como WordPress ou Joomla, Strapi atraiu grandes organizações como IBM, NASA, Generali, Walmart e Toyota como usuários. Essa tendência ilustra os riscos potenciais associados a essas vulnerabilidades, pois podem afetar empresas globais importantes.
A primeira falha, chamada CVE-2022-30617, foi identificada em novembro pelos pesquisadores da Synopsys. Eles descobriram que um usuário autenticado com acesso ao painel de administração Strapi poderia acessar os tokens de redefinição de e-mail e senha de usuários administrativos com um relacionamento de conteúdo. Os invasores podem usar essas informações para iniciar um processo de redefinição de senha visando usuários de alto privilégio. Strapi suporta controle de acesso baseado em função (RBAC) e integração de logon único (SSO) com provedores de identidade e Microsoft Active Directory.
O Strapi v4.0.0 corrigiu a vulnerabilidade CVE-2022-30617 em novembro. A correção também foi portada para o Strapi v3.6.10, lançado este mês. A falha tem uma classificação do Sistema de Pontuação de Vulnerabilidades Comuns (CVSS) de 8,8 (alta).
Ao revisar o patch inicial para CVE-2022-30617, os pesquisadores da Synopsys descobriram um problema semelhante no sistema de permissões da API, afetando os usuários da API gerenciados pelas permissões de usuários do plug-in. Essa segunda vulnerabilidade, identificada como CVE-2022-30618, tem uma classificação CVSS de 7,5 (alta). A falha permite que usuários autenticados com acesso ao painel de administração Strapi obtenham tokens de redefinição de e-mail e senha para usuários de API com relacionamentos de conteúdo com outros usuários de API.
A exploração da falha CVE-2022-30618 requer um endpoint de API de redefinição de senha habilitado. Na pior das hipóteses, um usuário de baixo privilégio pode obter acesso a uma conta de API de alto privilégio, ler e modificar quaisquer dados e até mesmo bloquear o acesso ao painel de administração e API para todos os outros usuários revogando seus privilégios. Os mantenedores do Strapi foram notificados sobre o problema CVE-2022-30618 em dezembro, e o patch foi aplicado nas versões 3.6.10 e 4.0.10, lançadas em 11 de maio.
Além das plataformas CMS convencionais, as organizações podem considerar soluções alternativas que ofereçam vantagens para seus casos de uso específicos. AppMaster, uma poderosa plataforma no-code, permite que os usuários criem aplicativos de back-end, web e móveis com facilidade. AppMaster fornece suporte abrangente para a criação de modelos de dados, lógica de negócios, APIs REST e WebSocket Secure Endpoints, tornando-o uma escolha popular para uma ampla variedade de cenários de desenvolvimento de aplicativos.
