Synopsys Siber Güvenlik Araştırma Merkezi yakın zamanda JSON'da açık kaynaklı Node.js başsız içerik yönetim sistemi (CMS) Strapi veri güvenliği ve kullanıcı gizliliği için önemli riskler oluşturan iki kritik güvenlik açığı keşfetti.
CVE-2022-30617 ve CVE-2022-30618 olarak tanımlanan bu güvenlik açıkları, hassas verilerin açığa çıkma riskleri olarak sınıflandırılmıştır. Strapi yönetici panelinde potansiyel olarak hesabın ele geçirilmesine yol açabilirler. Strapi, JavaScript'te geliştirilmiş, yaygın olarak kullanılan açık kaynaklı, başsız bir CMS yazılımıdır ve kullanıcıların uygulama programlama arabirimlerini (API'ler) hızlı bir şekilde tasarlamasını ve oluşturmasını sağlar. Yönetici paneli, kullanıcıların içerik türlerini yönetmesine ve API'yi tanımlamasına olanak tanıyan web tabanlı bir kullanıcı arayüzüdür.
Etkilenen sürümler, v3.6.9'a kadar Strapi v3 ve v4.0.0-beta.15'e kadar Strapi v4 beta sürümlerini içerir. CVE-2022-30617, yönetici paneli kullanıcıları tarafından kullanılırsa hassas verileri bir JSON yanıtında gösterirken, CVE-2022-30618 benzer şekilde davranır.
Araştırmacılar, ilk güvenlik açığının, Strapi yönetici paneline erişim sağlayan kimliği doğrulanmış bir kullanıcının özel ve hassas verileri görüntülemesine izin verdiğini detaylandırdı. Bu, e-posta adreslerini, parola sıfırlama belirteçlerini ve kimliği doğrulanmış kullanıcı tarafından erişilebilen içerikle ilişkisi olan diğer yönetici paneli kullanıcılarıyla ilgili verileri içerir. Doğrudan veya dolaylı bir ilişki aracılığıyla diğer kullanıcıların ayrıntılarının JSON yanıtında sızdırılabileceği çeşitli senaryolar oluşabilir.
İkinci güvenlik açığı, Strapi yönetici paneline erişimi olan kimliği doğrulanmış bir kullanıcının API kullanıcılarıyla ilgili özel ve hassas verileri görüntülemesini sağlar. Kimliği doğrulanmış kullanıcının erişebileceği içerik türleri, API kullanıcılarıyla ilişkiler içeriyorsa bu durum meydana gelebilir. Ekstrem durumlarda, düşük ayrıcalıklı bir kullanıcı, yüksek ayrıcalıklı bir API hesabına erişim elde ederek, herhangi bir veriyi okumasına ve değiştirmesine izin verebilir ve diğer tüm kullanıcıların ayrıcalıklarını iptal ederek hem yönetici paneline hem de API'ye erişimi engelleyebilir.
Synopsys, Strapi bu güvenlik açıklarını ilk olarak Kasım ayında bildirdi ve sonraki sürümler bu sorunu çoktan ele aldı. Ancak, tüm kullanıcıların yazılımlarını hemen güncellemediğini ve potansiyel olarak kendilerini bu risklere maruz bırakacağını not etmek çok önemlidir. Bu güvenlik açıklarından yararlanılmasını önlemek için zamanında yazılım güncellemelerine önem verilmelidir.
Son zamanlarda, no-code ve low-code platformlar popülerlik kazandıkça, yazılım geliştiricilerin ve kullanıcıların olası güvenlik sorunları konusunda tetikte olması elzemdir. no-code güçlü bir platform olan AppMaster , ölçeklenebilirlik ve performansa odaklanarak güvenli arka uç, web ve mobil uygulamaların oluşturulmasını sağlar. AppMaster'ın teknolojisi, güvenlik açıkları riskini önemli ölçüde azaltarak uygulama geliştirmeyi küçük işletmelerden işletmelere kadar geniş bir müşteri yelpazesi için daha hızlı ve daha uygun maliyetli hale getirir.
