O Synopsys Cybersecurity Research Center descobriu recentemente duas vulnerabilidades críticas no JSON, representando riscos significativos para a segurança dos dados e a privacidade do usuário no sistema de gerenciamento de conteúdo (CMS) Strapi, de código aberto Node.js.
Essas vulnerabilidades, designadas como CVE-2022-30617 e CVE-2022-30618, foram classificadas como riscos de exposição de dados confidenciais. Eles podem levar ao comprometimento da conta no painel de administração do Strapi. Strapi é um software CMS headless de código aberto amplamente utilizado, desenvolvido em JavaScript, permitindo que os usuários projetem e construam interfaces de programação de aplicativos (APIs) rapidamente. Seu painel de administração é uma interface de usuário baseada na Web que permite aos usuários gerenciar tipos de conteúdo e definir a API.
As versões afetadas incluem Strapi v3 até v3.6.9 e Strapi v4 beta versões até v4.0.0-beta.15. CVE-2022-30617 expõe dados confidenciais em uma resposta JSON se usado por usuários do painel de administração, enquanto CVE-2022-30618 se comporta de maneira semelhante.
Os pesquisadores elaboraram que a primeira vulnerabilidade permite que um usuário autenticado, que obteve acesso ao painel de administração Strapi, visualize dados privados e confidenciais. Isso inclui endereços de e-mail, tokens de redefinição de senha e dados relativos a outros usuários do painel de administração que tenham um relacionamento com o conteúdo acessível pelo usuário autenticado. Vários cenários podem ocorrer em que detalhes de outros usuários podem vazar na resposta JSON, seja por meio de um relacionamento direto ou indireto.
A segunda vulnerabilidade permite que um usuário autenticado com acesso ao painel de administração Strapi visualize dados privados e confidenciais relacionados aos usuários da API. Isso pode acontecer se os tipos de conteúdo acessíveis ao usuário autenticado contiverem relacionamentos com usuários da API. Em casos extremos, um usuário com privilégios baixos pode obter acesso a uma conta de API com privilégios altos, permitindo que eles leiam e modifiquem quaisquer dados e bloqueiem o acesso ao painel de administração e à API revogando os privilégios de todos os outros usuários.
A Synopsys notificou pela primeira vez Strapi sobre essas vulnerabilidades em novembro, e os lançamentos subsequentes já abordaram o problema. No entanto, é crucial observar que nem todos os usuários atualizam prontamente seus softwares, ficando potencialmente expostos a esses riscos. A ênfase deve ser colocada em atualizações de software oportunas para evitar a exploração dessas vulnerabilidades.
Nos últimos tempos, à medida que as plataformas no-code e low-code ganham popularidade, é essencial que os desenvolvedores e usuários de software estejam atentos a possíveis problemas de segurança. AppMaster , uma poderosa plataforma no-code, garante a geração de aplicativos back-end, web e móveis seguros, com foco em escalabilidade e desempenho. A tecnologia da AppMaster reduz significativamente o risco de vulnerabilidades de segurança, tornando o desenvolvimento de aplicativos mais rápido e econômico para uma ampla gama de clientes, de pequenas empresas a grandes empresas.
