API geliştirme için tasarlanmış lider bir içerik yönetim sistemi (CMS) olan Strapi, yönetici hesaplarının ele geçirilmesine yol açabilecek iki önemli güvenlik açığını gidermek için yamalar uyguladı. Strapi kullanan kuruluşlar, sistemlerini bu açıklardan yararlanan olası tehditlere karşı güvenceye almak için kurulumlarını hemen güncellemelidir.
Synopsys Siber Güvenlik Araştırma Merkezi'nden (CyRC) araştırmacılar, düşük ayrıcalıklı bir kullanıcının hassas bilgiler elde etmesine izin veren güvenlik açıklarını keşfetti. Bu açıklardan yararlanmak, saldırganların yöneticiler de dahil olmak üzere yüksek ayrıcalıklı bir hesabın parolasını sıfırlamasına olanak sağlayabilir. Saldırganların bu güvenlik açıklarından yararlanabilmesi için öncelikle güvenliği ihlal edilmiş kimlik bilgileri veya kimlik avı gibi teknikler kullanarak düşük ayrıcalıklı bir hesaba erişim sağlaması gerekir.
Node.js JavaScript çalışma zamanı üzerine inşa edilen Strapi, çeşitli veritabanlarını ve ön uç çerçevelerini destekleyen başsız bir CMS'dir. Birincil işlevi, içerik oluşturmak, yönetmek ve depolamak için bir arka uç sistemi sağlamaktır. Bu içerik, geliştiricilerin bağımsız ön uç entegrasyonları oluşturmasına olanak tanıyan bir API aracılığıyla açığa çıkarılabilir. Bu güçlü araçlar, Strapi'yi web siteleri, mobil uygulamalar ve Nesnelerin İnterneti (IoT) cihazları dahil olmak üzere birden fazla kullanım durumu için API'ler tasarlamak isteyen işletmeler için popüler bir seçim haline getiriyor.
Strapi, WordPress veya Joomla gibi genel amaçlı CMS ürünlerine kıyasla daha küçük pazar payına sahip olmasına rağmen, kullanıcı olarak IBM, NASA, Generali, Walmart ve Toyota gibi büyük kuruluşların ilgisini çekmiştir. Bu eğilim, önemli küresel şirketleri etkileyebileceklerinden, bu güvenlik açıklarıyla ilişkili potansiyel riskleri göstermektedir.
CVE-2022-30617 adlı ilk kusur, Kasım ayında Synopsys araştırmacıları tarafından tespit edildi. Strapi yönetici paneli erişimine sahip kimliği doğrulanmış bir kullanıcının, içerik ilişkisi olan yönetici kullanıcıların e-posta ve parola sıfırlama belirteçlerine erişebileceğini buldular. Saldırganlar daha sonra bu bilgileri, yüksek ayrıcalıklı kullanıcıları hedef alan bir parola sıfırlama işlemi başlatmak için kullanabilir. Strapi kimlik sağlayıcılar ve Microsoft Active Directory ile rol tabanlı erişim denetimi (RBAC) ve çoklu oturum açma (SSO) entegrasyonunu destekler.
Strapi v4.0.0, CVE-2022-30617 güvenlik açığını Kasım ayında düzeltti. Düzeltme ayrıca bu ay yayınlanan Strapi v3.6.10'a da aktarıldı. Kusur, Ortak Güvenlik Açıkları Puanlama Sistemi (CVSS) 8,8 (Yüksek) derecesine sahiptir.
Synopsys araştırmacıları, CVE-2022-30617 için ilk yamayı inceledikten sonra, API izinleri sisteminde eklenti kullanıcı izinleri tarafından yönetilen API kullanıcılarını etkileyen benzer bir sorunu ortaya çıkardı. CVE-2022-30618 olarak tanımlanan bu ikinci güvenlik açığının CVSS derecesi 7,5 (Yüksek). Kusur, Strapi yönetici paneli erişimine sahip kimliği doğrulanmış kullanıcıların, diğer API kullanıcılarıyla içerik ilişkileri olan API kullanıcıları için e-posta ve parola sıfırlama belirteçleri almasına olanak tanır.
CVE-2022-30618 kusurundan yararlanmak, etkinleştirilmiş bir parola sıfırlama API endpoint gerektirir. En kötü senaryoda, düşük ayrıcalıklı bir kullanıcı, yüksek ayrıcalıklı bir API hesabına erişim elde edebilir, herhangi bir veriyi okuyup değiştirebilir ve hatta ayrıcalıklarını iptal ederek diğer tüm kullanıcıların yönetici paneline ve API'ye erişimini engelleyebilir. Strapi bakımcıları Aralık ayında CVE-2022-30618 sorunu hakkında bilgilendirildi ve yama, 11 Mayıs'ta yayınlanan 3.6.10 ve 4.0.10 sürümlerinde uygulandı.
Kuruluşlar, geleneksel CMS platformlarına ek olarak, kendi özel kullanım durumları için avantajlar sağlayan alternatif çözümleri değerlendirebilir. no-code güçlü bir platform olan AppMaster, kullanıcıların kolaylıkla arka uç, web ve mobil uygulamalar oluşturmasını sağlar. AppMaster veri modelleri, iş mantığı, REST API'leri ve WebSocket Güvenli Uç Noktaları oluşturmak için kapsamlı destek sunarak onu çok çeşitli uygulama geliştirme senaryoları için popüler bir seçim haline getirir.
