Strapi 多个高危漏洞预警
1、基本情况
Strapi 是下一代 headless CMS、开源、javascript,可以
创建、管理内容丰富的体验并将其展示给任何数字设备。
近日,监测发现 Strapi 远程代码执行漏洞(CVE-2023-22621)
和 Strapi 信息泄露漏洞(CVE-2023-22894),当在可公开访问的
条目上存在由超级管理员用户创建或更新的集合的条目时,未经
身份验证的远程攻击者可以结合利用这两个漏洞,在受害者服务
器上执行任意代码。
对此,建议广大用户做好资产自查以及预防工作,以免遭受黑客
攻击。
2、漏洞详情
CVE-2023-22621:Strapi 远程代码执行漏洞
风险等级:高危
漏洞类型:代码执行
漏洞简述:Strapi 存在服务器端模板注入漏洞,拥有 Strapi
管理面板访问权限的远程攻击者可以将精心设计的有效载荷注
入到电子邮件模板中,绕过本应阻止代码执行的验证检查,从而
在服务器上执行任意代码。
CVE-2023-22894:Strapi 信息泄露漏洞
风险等级:高危
漏洞类型:信息泄露
漏洞简述:Strapi 存在信息泄露漏洞,当在可公开访问的条
目上存在由超级管理员用户创建或更新的集合的条目时,该漏洞
允许未经验证的攻击者获取敏感的用户详细信息,包括管理员和
API 用户。该漏洞可能被利用来劫持 Strapi 管理员的帐户,获取
未经授权的 Strapi 超级管理员访问权限,并通过泄露密码重置标
记和更改管理员密码来进一步攻击系统。
3、影响范围
受影响版本
⚫ Strapi < 4.5.6
⚫ Strapi >= 3.2.1
⚫ Strapi < 4.8.0
4、处置建议
通用修复建议
官方已发布安全更新版本,受影响用户可以更新到 Strapi
4.8.0 及以上版本。
注:Strapi 3.x.x 已停止维护,不再发布安全更新,请更新
到 4.x。
5、参考链接
1) https://github.com/strapi/strapi/security/advisori
es/GHSA-2h87-4q2w-v4hf
2) https://github.com/strapi/strapi/security/advisori
es/GHSA-jjqf-j4w7-92w8
3) https://strapi.io/blog/security-disclosure-of-vuln
erbilities-cve