Strapi Headless CMS 中修补的关键漏洞：受威胁的帐户存在风险

Strapi是专为 API 开发而设计的领先的无外设内容管理系统 (CMS)，它已应用补丁来解决可能导致管理帐户遭到破坏的两个重大漏洞。使用 Strapi 的组织应立即更新其安装，以保护其系统免受利用这些缺陷的可能威胁。

Synopsys 网络安全研究中心 (CyRC) 的研究人员发现了这些漏洞，这些漏洞允许低权限用户获取敏感信息。利用这些缺陷可能使攻击者能够重置高权限帐户（包括管理员）的密码。要利用这些漏洞，攻击者首先必须使用泄露凭据或网络钓鱼等技术获得对低特权帐户的访问权限。

Strapi建立在 Node.js JavaScript 运行时之上，是一个支持各种数据库和前端框架的无头 CMS。它的主要功能是提供用于创建、管理和存储内容的后端系统。这些内容可以通过 API 公开，允许开发人员创建独立的前端集成。这些强大的工具使 Strapi 成为希望为多种用例（包括网站、移动应用程序和物联网 (IoT) 设备）设计 API 的企业的热门选择。

尽管与 WordPress 或 Joomla 等通用 CMS 产品相比其市场份额较小，但Strapi吸引了 IBM、NASA、Generali、沃尔玛和丰田等知名组织的用户。这一趋势说明了与这些漏洞相关的潜在风险，因为它们可能会影响重要的全球公司。

第一个漏洞名为 CVE-2022-30617，由 Synopsys 研究人员于 11 月发现。他们发现具有 Strapi 管理面板访问权限的经过身份验证的用户可以访问具有内容关系的管理用户的电子邮件和密码重置令牌。然后，攻击者可以使用此信息启动针对高权限用户的密码重置过程。 Strapi支持基于角色的访问控制 (RBAC) 和单点登录 (SSO) 与身份提供者和 Microsoft Active Directory 的集成。

Strapi v4.0.0 在 11 月修补了 CVE-2022-30617 漏洞。该修复程序还反向移植到本月发布的 Strapi v3.6.10。该漏洞的通用漏洞评分系统 (CVSS) 评级为 8.8（高）。

在查看 CVE-2022-30617 的初始补丁后，Synopsys 研究人员在 API 权限系统中发现了一个类似的问题，影响了由插件用户权限管理的 API 用户。第二个漏洞被标识为 CVE-2022-30618，其 CVSS 评级为 7.5（高）。该漏洞允许具有 Strapi 管理面板访问权限的经过身份验证的用户为与其他 API 用户有内容关系的 API 用户获取电子邮件和密码重置令牌。

利用 CVE-2022-30618 漏洞需要启用密码重置 API endpoint 。在最坏的情况下，低权限用户可以获得高权限 API 帐户的访问权限，读取和修改任何数据，甚至通过撤销其他用户的权限来阻止所有其他用户访问管理面板和 API。 Strapi 维护人员在 12 月收到了 CVE-2022-30618 问题的通知，并在 5 月 11 日发布的 3.6.10 和 4.0.10 版本中应用了该补丁。

除了传统的 CMS 平台外，组织还可以考虑为其特定用例提供优势的替代解决方案。 AppMaster是一个强大的no-code平台，使用户能够轻松创建后端、Web 和移动应用程序。 AppMaster为创建数据模型、业务逻辑、REST API 和 WebSocket 安全端点提供了全面的支持，使其成为广泛的应用程序开发场景的热门选择。