Synopsys 网络安全研究中心最近在 JSON 中发现了两个严重漏洞,对开源 Node.js 无头内容管理系统 (CMS) Strapi中的数据安全和用户隐私构成重大风险。
这些漏洞被指定为 CVE-2022-30617 和 CVE-2022-30618,已归类为敏感数据暴露风险。它们可能会导致Strapi的管理面板中的帐户泄露。 Strapi是一种广泛使用的开源无头 CMS 软件,使用 JavaScript 开发,使用户能够快速设计和构建应用程序编程接口 (API)。它的管理面板是一个基于网络的用户界面,允许用户管理内容类型和定义 API。
受影响的版本包括高达 v3.6.9 的Strapi v3 和高达 v4.0.0-beta.15 的Strapi v4 beta 版本。如果管理面板用户使用 CVE-2022-30617,则会在 JSON 响应中公开敏感数据,而 CVE-2022-30618 的行为类似。
研究人员详细说明,第一个漏洞允许获得Strapi管理面板访问权限的经过身份验证的用户查看私人和敏感数据。这包括电子邮件地址、密码重置令牌以及有关其他管理面板用户的数据,这些用户与经过身份验证的用户可访问的内容有关系。可能会发生各种情况,其中来自其他用户的详细信息可能会通过直接或间接关系在 JSON 响应中泄露。
第二个漏洞允许经过身份验证的用户访问Strapi管理面板,以查看与 API 用户相关的私人和敏感数据。如果经过身份验证的用户可访问的内容类型包含与 API 用户的关系,则可能会发生这种情况。在极端情况下,低权限用户可以获得高权限 API 帐户的访问权限,允许他们读取和修改任何数据,并通过撤销所有其他用户的权限来阻止对管理面板和 API 的访问。
Synopsys 于 11 月首次将这些漏洞通知Strapi ,随后的版本已经解决了该问题。但是,需要注意的是,并非所有用户都会及时更新他们的软件,这可能会使他们自己面临这些风险。必须重视及时的软件更新,以防止利用这些漏洞。
近年来,随着no-code和low-code平台的流行,软件开发人员和用户必须警惕潜在的安全问题。 AppMaster是一个强大的no-code平台,可确保生成安全的后端、Web 和移动应用程序,专注于可扩展性和性能。 AppMaster 的技术显着降低了安全漏洞的风险,使从小型企业到大型企业的广泛客户的应用程序开发更快、更具成本效益。
