พบช่องโหว่ JSON ร้ายแรงใน CMS ของ Strapi ซึ่งเป็นภัยคุกคามต่อความปลอดภัยของข้อมูล

ศูนย์วิจัยความปลอดภัยทางไซเบอร์ของ Synopsys เพิ่งค้นพบช่องโหว่ที่สำคัญ 2 รายการใน JSON ซึ่งก่อให้เกิดความเสี่ยงอย่างมากต่อความปลอดภัยของข้อมูลและความเป็นส่วนตัวของผู้ใช้ในระบบจัดการเนื้อหา Headless (CMS) ของ Node.js แบบโอเพ่นซอร์ส (CMS) Strapi

ช่องโหว่เหล่านี้ซึ่งถูกกำหนดให้เป็น CVE-2022-30617 และ CVE-2022-30618 ถูกจัดประเภทเป็นความเสี่ยงในการเปิดเผยข้อมูลที่ละเอียดอ่อน พวกเขาอาจนำไปสู่การบุกรุกบัญชีในแผงการดูแลระบบของ StrapiStrapi เป็นซอฟต์แวร์ CMS แบบไม่มีส่วนหัวแบบโอเพ่นซอร์สที่ใช้กันอย่างแพร่หลายซึ่งพัฒนาด้วย JavaScript ช่วยให้ผู้ใช้สามารถออกแบบและสร้าง Application Programming Interfaces (API) ได้อย่างรวดเร็ว แผงการดูแลระบบเป็นส่วนติดต่อผู้ใช้บนเว็บที่ช่วยให้ผู้ใช้จัดการประเภทเนื้อหาและกำหนด API

เวอร์ชันที่ได้รับผลกระทบ ได้แก่ Strapi v3 ถึง v3.6.9 และเวอร์ชันเบต้าของ Strapi v4 ถึง v4.0.0-beta.15 CVE-2022-30617 เปิดเผยข้อมูลที่ละเอียดอ่อนในการตอบสนอง JSON หากใช้โดยผู้ใช้แผงการดูแลระบบ ในขณะที่ CVE-2022-30618 จะทำงานคล้ายกัน

นักวิจัยระบุว่าช่องโหว่แรกช่วยให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ซึ่งได้รับสิทธิ์เข้าถึงแผงควบคุม Strapi สามารถดูข้อมูลส่วนตัวและข้อมูลที่ละเอียดอ่อนได้ ประกอบด้วยที่อยู่อีเมล โทเค็นการรีเซ็ตรหัสผ่าน และข้อมูลเกี่ยวกับผู้ใช้แผงการดูแลระบบรายอื่นที่มีความสัมพันธ์กับเนื้อหาที่ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์เข้าถึงได้ สถานการณ์ต่างๆ อาจเกิดขึ้นได้เมื่อรายละเอียดจากผู้ใช้รายอื่นอาจรั่วไหลในการตอบกลับ JSON ไม่ว่าจะผ่านความสัมพันธ์โดยตรงหรือโดยอ้อม

ช่องโหว่ที่สองทำให้ผู้ใช้ที่ผ่านการรับรองความถูกต้องสามารถเข้าถึงแผงควบคุมผู้ดูแลระบบ Strapi เพื่อดูข้อมูลส่วนตัวและข้อมูลที่ละเอียดอ่อนที่เกี่ยวข้องกับผู้ใช้ API กรณีนี้อาจเกิดขึ้นได้หากประเภทเนื้อหาที่เข้าถึงได้สำหรับผู้ใช้ที่ผ่านการรับรองความถูกต้องมีความสัมพันธ์กับผู้ใช้ API ในกรณีร้ายแรง ผู้ใช้ที่มีสิทธิ์ต่ำจะสามารถเข้าถึงบัญชี API ที่มีสิทธิ์สูงได้ ทำให้พวกเขาสามารถอ่านและแก้ไขข้อมูลใดๆ และบล็อกการเข้าถึงทั้งแผงการดูแลระบบและ API โดยยกเลิกสิทธิ์สำหรับผู้ใช้รายอื่นทั้งหมด

Synopsys แจ้งให้ Strapi ทราบถึงช่องโหว่เหล่านี้เป็นครั้งแรกในเดือนพฤศจิกายน และรุ่นต่อๆ มาก็ได้แก้ไขปัญหานี้แล้ว อย่างไรก็ตาม สิ่งสำคัญคือต้องทราบว่าไม่ใช่ผู้ใช้ทุกคนที่จะอัปเดตซอฟต์แวร์โดยทันที ซึ่งอาจทำให้ตนเองเสี่ยงต่อความเสี่ยงเหล่านี้ได้ ต้องให้ความสำคัญกับการอัปเดตซอฟต์แวร์อย่างทันท่วงทีเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่เหล่านี้

เมื่อไม่นานมานี้ เนื่องจากแพลตฟอร์ม no-code และ low-code ได้รับความนิยม นักพัฒนาซอฟต์แวร์และผู้ใช้จึงต้องระมัดระวังเกี่ยวกับปัญหาด้านความปลอดภัยที่อาจเกิดขึ้น AppMaster ซึ่งเป็นแพลตฟอร์ม no-code ทรงพลัง ช่วยให้มั่นใจได้ถึงการสร้างแบ็คเอนด์ เว็บ และแอปพลิเคชันมือถือที่ปลอดภัย โดยเน้นที่ความสามารถในการปรับขนาดและประสิทธิภาพ เทคโนโลยีของ AppMaster ช่วยลดความเสี่ยงของช่องโหว่ด้านความปลอดภัยได้อย่างมาก ทำให้การพัฒนาแอปพลิเคชันเร็วขึ้นและประหยัดต้นทุนมากขึ้นสำหรับลูกค้าที่หลากหลาย ตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กร