Strapi 修复的安全漏洞

关键要点

• Strapi 平台修补了两个安全漏洞，允许低权限用户访问高权限用户的数据，包括账户接管信息。
• 漏洞编号为 CVE-2022-30617 和 CVE-20220-30618，主要涉及后台过多用户数据暴露。
• 升级至指定版本后，Strapi 用户可以保护自己免受这些漏洞影响。

Strapi 一款广受欢迎的无头 CMS，最近修补了两个严重漏洞。这些漏洞使得低权限的用户能够访问到原本只允许高权限用户查看的数据，包括允许账户接管的信息。

这些漏洞由 Synopsys 的 CyRC 研究实验室于去年11月发现，标记为 CVE-2022-30617 和
CVE-20220-30618。漏洞的核心问题在于后台暴露了过多的用户数据，包括可以用于盗取账户的密码重置令牌。

“恶意用户可以利用此漏洞重置密码，从而访问这些账户，”Synopsys 软件完整性小组的首席安全顾问 David Johansson
表示。“他们可能会代表用户创建内容，抹黑他们或发布假新闻，甚至可能会读取尚未发布的其他用户内容。”

Strapi 的权限等级有三个：“写作者”、“编辑者” 和
“超级用户”。然而，这两个漏洞使得低权限用户可以看到与高权限用户交互的数据。第一个漏洞是，文件的作者可以访问到更新该文件的用户的 JSON响应详情，这意味着一个不满的写作者可能会窥视编辑其帖子的编辑者或超级用户的账户数据。第二个漏洞则是，如果第二个用户属于第一用户可以访问的内容类型，第一用户就能访问到第二个用户的
JSON 响应。

Strapi 版本 | 修复方法
—|—
版本 3 用户 | 升级到版本 3.6.10 或更高版本
版本 4 用户 | 使用 Strapi 的稳定版本对 30617 漏洞安全，升级到 4.1.10 或更高版本以修复 30618 漏洞

Johansson 强调，API 漏洞是相当普遍的现象。他提到：“实际上在后台发送的数据通常包含比用户应该能够访问和查看的更多信息，这是相当常见的。”

要保护自己不受此类漏洞的影响，用户应及时更新到最新版本。通过遵循建议的版本升级路径，Strapi 用户能够更加安全地使用这一平台。