【漏洞通告】Strapi 多個安全漏洞

一、漏洞概述

Strapi 是一個流行的Node.js 內容管理框架(headless-CMS),可輕鬆構建強大的 API。

2023年4月23日,啟明星辰VSRC監測到Strapi發佈安全公告,修復了Strapi中的多個漏洞,可組合利用CVE-2023-22621和CVE-2023-22894在Strapi <=4.5.5上實現未經身份驗證的遠端程式碼執行。目前這些漏洞的細節及部分漏洞的PoC/EXP已經公開披露,詳情如下:

CVE-2023-22621:Strapi伺服器端模板注入漏洞(嚴重)

Strapi 版本<= 4.5.5中存在經過身份驗證的伺服器端模板注入(SSTI)漏洞,有權訪問 Strapi 管理面板的遠端威脅者可以將惡意Payload注入到電子郵件模板中,繞過本應阻止程式碼執行的驗證檢查,從而在伺服器上執行任意程式碼。

CVE-2023-22894:Strapi資訊洩露漏洞(嚴重)

Strapi 版本< 4.8.0中存在資訊洩露漏洞,有權訪問管理面板的威脅者可以通過利用查詢過濾器來發現敏感的使用者詳細資訊,如Strapi 管理員和 API 使用者。可利用該漏洞劫持Strapi管理員賬戶,並通過洩露密碼重置令牌和更改管理員密碼來獲得未經授權的Strapi 超級管理員訪問許可權。

CVE-2023-22893:Strapi身份驗證繞過漏洞(高危)

Strapi 版本< 4.6.0中,當使用AWS Cognito login provider用於身份驗證時,Strapi不會驗證在OAuth 流程期間發出的訪問或ID令牌。遠端威脅者可以偽造使用 "None"類型演算法簽名的ID令牌,以繞過身份驗證並冒充任何使用AWS Cognito login provider進行身份驗證的使用者。

二、影響範圍

CVE-2023-22621:Strapi 版本<= 4.5.5

CVE-2023-22894:3.2.1<= Strapi 版本< 4.8.0

CVE-2023-22893:3.2.1<= Strapi 版本< 4.6.0

三、安全措施

3.1 升級版本

目前這些漏洞已經修復,受影響使用者可升級到以下版本(或當前最新版本):

CVE-2023-22621:Strapi 版本 >=4.5.6

CVE-2023-22894:Strapi 版本 >=4.8.0

CVE-2023-22893:Strapi 版本 >=4.6.0

下載連結:

https://github.com/strapi/strapi/releases

3.2 臨時措施

暫無。

3.3 通用建議

定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。

加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。

使用企業級安全產品,提升企業的網路安全性能。

加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。

啟用強密碼策略並設置為定期修改。

3.4 參考連結

https://strapi.io/blog/security-disclosure-of-vulnerabilities-cve

https://github.com/strapi/strapi/security/advisories/GHSA-2h87-4q2w-v4hf

https://github.com/strapi/strapi/security/advisories/GHSA-jjqf-j4w7-92w8

https://github.com/strapi/strapi/security/advisories/GHSA-xv3q-jrmm-4fxv

相關文章

【風險通告】OWASP 2019 API安全Top10

【風險通告】OWASP 2019 API安全Top10

0x00 風險概述 眾所周知,網路安全已成為大多陣列織的頭等大事,尤其是那些處理敏感客戶資訊的行業。隨著這些企業致力於構建穩健的安全策略,因...

重磅,GPT-4 API 全面開放使用!

重磅,GPT-4 API 全面開放使用!

整理 | 屠敏 遙想今年 3 月剛推出GPT-4的 OpenAI 僅邀請了部分提交申請的開發者參與測試。眼瞅 OpenAI 聯合創始人 Gr...