Trung tâm nghiên cứu an ninh mạng Synopsys gần đây đã phát hiện ra hai lỗ hổng nghiêm trọng trong JSON, gây rủi ro đáng kể đối với bảo mật dữ liệu và quyền riêng tư của người dùng trong hệ thống quản lý nội dung không đầu Node.js (CMS) Strapi nguồn mở.
Các lỗ hổng này, được chỉ định là CVE-2022-30617 và CVE-2022-30618, đã được phân loại là rủi ro lộ dữ liệu nhạy cảm. Chúng có khả năng dẫn đến xâm phạm tài khoản trong bảng quản trị của Strapi. Strapi là một phần mềm CMS không đầu nguồn mở được sử dụng rộng rãi được phát triển bằng JavaScript, cho phép người dùng nhanh chóng thiết kế và xây dựng các giao diện lập trình ứng dụng (API). Bảng quản trị của nó là giao diện người dùng dựa trên web cho phép người dùng quản lý các loại nội dung và xác định API.
Các phiên bản bị ảnh hưởng bao gồm các phiên Strapi v3 lên tới v3.6.9 và các phiên bản beta Strapi v4 lên tới v4.0.0-beta.15. CVE-2022-30617 hiển thị dữ liệu nhạy cảm trong phản hồi JSON nếu được người dùng bảng quản trị sử dụng, trong khi CVE-2022-30618 hoạt động tương tự.
Các nhà nghiên cứu đã giải thích rằng lỗ hổng đầu tiên cho phép người dùng được xác thực, người đã có quyền truy cập vào bảng quản trị Strapi, để xem dữ liệu riêng tư và nhạy cảm. Điều này bao gồm địa chỉ email, mã thông báo đặt lại mật khẩu và dữ liệu liên quan đến những người dùng bảng quản trị khác có mối quan hệ với nội dung mà người dùng được xác thực có thể truy cập. Nhiều tình huống có thể xảy ra khi thông tin chi tiết từ những người dùng khác có thể bị rò rỉ trong phản hồi JSON, thông qua mối quan hệ trực tiếp hoặc gián tiếp.
Lỗ hổng thứ hai cho phép người dùng được xác thực có quyền truy cập vào bảng quản trị Strapi để xem dữ liệu riêng tư và nhạy cảm liên quan đến người dùng API. Điều này có thể xảy ra nếu các loại nội dung mà người dùng đã xác thực có thể truy cập chứa các mối quan hệ với người dùng API. Trong những trường hợp cực đoan, người dùng có đặc quyền thấp có thể có quyền truy cập vào tài khoản API có đặc quyền cao, cho phép họ đọc và sửa đổi bất kỳ dữ liệu nào, đồng thời chặn quyền truy cập vào cả bảng quản trị và API bằng cách thu hồi đặc quyền đối với tất cả người dùng khác.
Synopsys lần đầu tiên thông báo cho Strapi về các lỗ hổng này vào tháng 11 và các bản phát hành tiếp theo đã giải quyết vấn đề này. Tuy nhiên, điều quan trọng cần lưu ý là không phải tất cả người dùng đều cập nhật phần mềm của họ kịp thời, có khả năng khiến họ gặp phải những rủi ro này. Cần phải nhấn mạnh vào các bản cập nhật phần mềm kịp thời để ngăn chặn việc khai thác các lỗ hổng này.
Trong thời gian gần đây, khi các nền tảng no-code và low-code trở nên phổ biến, các nhà phát triển phần mềm và người dùng cần phải cảnh giác về các vấn đề bảo mật tiềm ẩn. AppMaster , một nền tảng no-code mạnh mẽ, đảm bảo tạo ra các ứng dụng phụ trợ, web và di động an toàn, tập trung vào khả năng mở rộng và hiệu suất. Công nghệ của AppMaster làm giảm đáng kể nguy cơ lỗ hổng bảo mật, giúp phát triển ứng dụng nhanh hơn và tiết kiệm chi phí hơn cho nhiều đối tượng khách hàng, từ doanh nghiệp nhỏ đến doanh nghiệp lớn.
