Исследовательский центр кибербезопасности Synopsys недавно обнаружил две критические уязвимости в JSON, создающие значительные риски для безопасности данных и конфиденциальности пользователей в системе управления контентом Node.js без головы (CMS) Strapi открытым исходным кодом.
Эти уязвимости, обозначенные как CVE-2022-30617 и CVE-2022-30618, были классифицированы как риски раскрытия конфиденциальных данных. Они потенциально могут привести к компрометации учетной записи в панели администратора Strapi. Strapi — это широко используемая безголовая CMS с открытым исходным кодом, разработанная на JavaScript, позволяющая пользователям быстро проектировать и создавать интерфейсы прикладного программирования (API). Его панель администратора представляет собой пользовательский веб-интерфейс, позволяющий пользователям управлять типами контента и определять API.
Затронутые версии включают Strapi v3 до v3.6.9 и бета-версии Strapi v4 до v4.0.0-beta.15. CVE-2022-30617 предоставляет конфиденциальные данные в ответе JSON, если они используются пользователями панели администратора, в то время как CVE-2022-30618 ведет себя аналогично.
Исследователи уточнили, что первая уязвимость позволяет аутентифицированному пользователю, получившему доступ к панели администратора Strapi, просматривать личные и конфиденциальные данные. Сюда входят адреса электронной почты, токены для сброса пароля и данные о других пользователях панели администратора, которые связаны с контентом, доступным аутентифицированному пользователю. Могут возникать различные сценарии, когда в ответе JSON могут просачиваться сведения от других пользователей либо посредством прямой, либо косвенной связи.
Вторая уязвимость позволяет аутентифицированному пользователю с доступом к панели администратора Strapi просматривать личные и конфиденциальные данные, связанные с пользователями API. Это может произойти, если типы контента, доступные аутентифицированному пользователю, содержат отношения с пользователями API. В крайних случаях пользователь с низким уровнем привилегий может получить доступ к учетной записи API с высоким уровнем привилегий, что позволит ему читать и изменять любые данные и блокировать доступ как к панели администратора, так и к API, отменяя привилегии для всех других пользователей.
Synopsys впервые уведомила Strapi об этих уязвимостях в ноябре, и в последующих выпусках эта проблема уже была устранена. Однако важно отметить, что не все пользователи своевременно обновляют свое программное обеспечение, потенциально подвергая себя этим рискам. Акцент должен быть сделан на своевременных обновлениях программного обеспечения, чтобы предотвратить использование этих уязвимостей.
В последнее время, когда платформы no-code и low-code набирают популярность, разработчикам программного обеспечения и пользователям важно проявлять бдительность в отношении потенциальных проблем безопасности. AppMaster , мощная платформа no-code, обеспечивает создание безопасных серверных, веб- и мобильных приложений с упором на масштабируемость и производительность. Технология AppMaster значительно снижает риск уязвимостей в системе безопасности, делая разработку приложений более быстрой и экономичной для широкого круга клиентов, от малого бизнеса до крупного бизнеса.
