nvd,anchore_overrides
Strapi
Уязвимости
39
Эксплуатируемые
0
Критический
6
Высокий
17
Топ продуктов
Топ уязвимостей
CVE-2023-38507Strapi — это система управления контентом с открытым исходным кодом. До версии 4.12.1 существует ограничение скорости на функцию входа в систему на экране администратора Strapi, но его можно обойти. Поэтому увеличивается вероятность несанкционированного входа в систему путем грубой силы. Версия 4.12.1 содержит исправление для этой проблемы.
CVE-2022-27263Уязвимость произвольной загрузки файлов в модуле загрузки файлов Strapi v4.1.5 позволяет злоумышленникам выполнять произвольный код через специально созданный файл.
CVE-2020-27664admin/src/containers/InputModalStepperProvider/index.js в Strapi до версии 3.2.5 имеет нежелательную функциональность /proxy?url=.
CVE-2019-18818strapi версий до 3.0.0-beta.17.5 неправильно обрабатывает сброс пароля в packages/strapi-admin/controllers/Auth.js и packages/strapi-plugin-users-permissions/controllers/Auth.js.
CVE-2026-22599Strapi - это система управления контентом без головы с открытым исходным кодом. В версиях на ветке 4.x до 4.26.1 и на ветке 5.30x до 5.33.2 в API Strapi Content-Type Builder at the type. Аутентифицированный администратор может вводить произвольные выписки из базы данных через атрибут "column.defaultTo`" при создании или изменении типа содержимого. Установка `defaultTo` в качестве тплюжа `[value, { isRaw: true }]` привела к тому, что значение было передано непосредственно в Knex `db.connection.raw()` во время миграции схемы без дезинфекции, что позволило выполнить произвольное выполнение изложений на уровне базы данных. В зависимости от движка базы данных, это позволило произвольно читать файл через функции использования базы данных, отказ в обслуживании через принудительный сбой сервера при ошибке схемы-миграции и на движках, которые позволяют внешнее выполнение программ, удаленное выполнение кода против сервера базы данных. Патч в версиях 4.26.1 и 5.33.2 устраняет это, ограничивая все API-интерфейсы Content-Type Builder только в режиме разработки. Производственные развертывания, работающие под управлением v5.33.2 или более поздней версии, возвращают 404 запроса против `/content-type-Builder/content-types` и связанных с ними конечных точек, полностью удаляя сетевую поверхность атаки.
CVE-2026-27886Уязвимость в Data Query Logic in strapi
CVE-2022-32114Уязвимость неограниченной загрузки файлов в функции Добавить новые активы Strapi 4.1.12 позволяет злоумышленникам проводить атаки XSS через специально подготовленный PDF-файл. ПРИМЕЧАНИЕ: документация проекта предлагает, чтобы пользователь с разрешением 'Создать (загрузить)' библиотеки медиа мог загружать PDF-файлы, содержащие JavaScript, и что все файлы в публичной папке активов доступны внешнему миру (если название файла не начинается с точки). Администратор может выбрать разрешить загрузку только изображений, видео и аудиофайлов (т.е. не PDF), если это необходимо.
CVE-2022-31367Strapi до версий 3.6.10 и 4.x до 4.1.10 неправильно обрабатывает скрытые атрибуты в ответах admin API.
CVE-2022-30617Аутентифицированный пользователь с доступом к панели администратора Strapi может просматривать частные и конфиденциальные данные, такие как электронная почта и токены сброса пароля, для других пользователей панели администратора, которые имеют отношения (например, созданы, обновлены) с контентом, доступным аутентифицированному пользователю. Например, учетная запись с ролью «автор» с низкими привилегиями может просматривать эти сведения в ответе JSON для «редактора» или «супер администратора», который обновил один из сообщений блога автора. Существует также много других сценариев, в которых такие сведения от других пользователей могут просочиться в ответе JSON либо через прямую, либо через косвенную связь. Доступ к этой информации позволяет пользователю скомпрометировать учетные записи других пользователей, успешно вызвав рабочий процесс сброса пароля. В худшем случае пользователь с низкими привилегиями может получить доступ к учетной записи «супер администратора» с полным контролем над экземпляром Strapi и может читать и изменять любые данные, а также блокировать доступ как к панели администратора, так и к API, отменяя привилегии для всех других пользователей.
CVE-2024-37818Было обнаружено, что Strapi v4.24.4 содержит подделку запроса на стороне сервера (SSRF) через компонент /strapi.io/_next/image. Эта уязвимость позволяет злоумышленникам сканировать открытые порты или получать доступ к конфиденциальной информации через созданный запрос GET. ПРИМЕЧАНИЕ: Сообщество развития Страпи утверждает, что этот вопрос не является действительным. Они утверждают, что «стррапи/админ был ошибочно приписан недостатком, который относится только к веб-сайту Strapi.io, и который, в конце концов, не представляет никакого реального риска SSRF для приложений, которые используют библиотеку Strapi».
CVE-2024-56143Strapi - это система управления контентом без головы с открытым исходным кодом. В версиях от 5.0.0 до 5.5.2 оператор поиска, предоставляемый службой документа, не обеспечивает должным образом дезинфицировать параметры запроса для частных полей. Злоумышленник может получить доступ к частным полям, включая админ-пароли и токены сброса, путем создания запросов с параметром поиска. Эта уязвимость зафиксирована в 5.5.2.
CVE-2024-34065Strapi — это система управления контентом с открытым исходным кодом. Объединив две уязвимости («Открытый редирект» и «Токен сеанса, отправленный в качестве параметра запроса URL») в @strapi/plugin-users-permissions до версии 4.24.2, можно обойти механизмы аутентификации неаутентифицированным злоумышленником и получить сторонние токены. Атака требует взаимодействия с пользователем (один щелчок). Неаутентифицированные злоумышленники могут использовать две уязвимости для получения стороннего токена и обхода аутентификации приложений Strapi. Пользователям следует обновить @strapi/plugin-users-permissions до версии 4.24.2, чтобы получить исправление.
CVE-2021-28128В Strapi до версии 3.6.0 панель администратора позволяет изменять собственный пароль без ввода текущего пароля. Злоумышленник, получивший доступ к действующей сессии, может использовать это для захвата учетной записи, изменив пароль.
CVE-2024-52588Strapi - это система управления контентом с открытым исходным кодом. До версии 4.25.2 ввод локального домена в поле URL вебхуков приводит к тому, что приложение обращается само к себе, в результате чего возникает подделка серверного запроса (SSRF). Эта проблема была исправлена в версии 4.25.2 [1]. Проблема возникает при вводе локальных доменов, таких как localhost, 127.0.0.1, 0.0.0.0, в поле URL для создания подключения вебхука. Это позволяет злоумышленнику выполнить брутфорс всех 65535 портов, чтобы определить, какие порты открыты.
Источники:
- [1] https://github.com/strapi/strapi/security/advisories/GHSA-v8wj-f5c7-pvxf
CVE-2023-39345strapi — это CMS с открытым исходным кодом без пользовательского интерфейса. Версии до 4.13.1 неправильно ограничивали доступ на запись к полям, отмеченным как частные, в конечной точке регистрации пользователей. Таким образом, злонамеренные пользователи могут ошибочно изменять свои записи пользователей. Эта проблема была решена в версии 4.13.1. Пользователям рекомендуется обновиться. Обходных путей для этой уязвимости не существует.
CVE-2023-34235Strapi - это система управления контентом с открытым исходным кодом. До версии 4.10.8 возможно раскрытие частных полей, если используется префикс `t(number)`. Запрос Knex позволяет пользователям изменять префикс по умолчанию. Например, если кто-то изменяет префикс на тот же, что и раньше, или на другую таблицу, которую он хочет запросить, запрос изменяется с `password` на `t1.password`. `password` защищен фильтрами, но `t1.password` не защищен. Это может привести к фильтрации атак на все, что связано с объектом, включая пароли администратора и токены сброса. Версия 4.10.8 устраняет эту проблему.
CVE-2023-22893Strapi до версии 4.5.5 не проверяет токены доступа или идентификаторы, выданные во время потока OAuth, когда для аутентификации используется поставщик входа AWS Cognito. Удаленный злоумышленник может подделать токен идентификатора, подписанный с использованием алгоритма типа «None», чтобы обойти аутентификацию и выдать себя за любого пользователя, использующего AWS Cognito для аутентификации.
CVE-2022-30618Аутентифицированный пользователь с доступом к панели администратора Strapi может просматривать частные и конфиденциальные данные, такие как электронная почта и токены сброса пароля, для пользователей API, если типы контента, доступные аутентифицированному пользователю, содержат отношения с пользователями API (from:users-permissions). Существует много сценариев, в которых такие сведения от пользователей API могут просочиться в ответе JSON в панели администратора либо через прямую, либо через косвенную связь. Доступ к этой информации позволяет пользователю скомпрометировать учетные записи этих пользователей, если конечные точки API сброса пароля были включены. В худшем случае пользователь с низкими привилегиями может получить доступ к учетной записи API с высокими привилегиями и может читать и изменять любые данные, а также блокировать доступ как к панели администратора, так и к API, отменяя привилегии для всех других пользователей.
CVE-2021-46440Хранение паролей в восстанавливаемом формате в компоненте DOCUMENTATION плагина Strapi до версий 3.6.9 и 4.x до 4.1.5 позволяет злоумышленнику получить доступ к HTTP-запросу жертвы, получить cookie жертвы, выполнить декодирование base64 cookie жертвы и получить пароль в виде открытого текста, что приводит к получению документации API для дальнейших атак API.
CVE-2020-27665В Strapi до версии 3.2.5 нет ограничения admin::hasPermissions для маршрутов CTB (aka content-type-builder).
CVE-2023-22621Strapi до версии 4.5.5 допускает аутентифицированное внедрение шаблонов на стороне сервера (SSTI), которое можно использовать для выполнения произвольного кода на сервере. Удаленный злоумышленник с доступом к панели администратора Strapi может внедрить специально созданную полезную нагрузку, которая выполняет код на сервере, в шаблон электронной почты, который обходит проверки валидации, которые должны предотвращать выполнение кода.
CVE-2019-19609Фреймворк Strapi до версии 3.0.0-beta.17.8 уязвим для удаленного выполнения кода в компонентах установки и удаления плагина панели управления, поскольку он не очищает имя плагина, и злоумышленники могут внедрять произвольные команды оболочки для выполнения функцией execa.
CVE-2023-34093Strapi — это система управления контентом с открытым исходным кодом. До версии 4.10.8 любой (разработчики Strapi, пользователи, плагины) может сделать каждый атрибут Content-Type общедоступным, не зная об этом. Уязвимость влияет только на обработку типов контента Strapi, а не на сами типы контента. Пользователи могут использовать плагины или изменять свои собственные типы контента, не осознавая, что геттер `privateAttributes` удаляется, что может привести к тому, что любой атрибут станет общедоступным. Это может привести к раскрытию конфиденциальной информации или к тому, что вся система будет взята под контроль злоумышленником (имеющим доступ к хешам паролей). Это может затронуть любого, в зависимости от того, как люди используют/расширяют типы контента. Если пользователи изменяют тип контента, они не будут затронуты. Версия 4.10.8 содержит исправление для этой проблемы.
CVE-2025-64526Strapi - это система управления контентом без головы с открытым исходным кодом. В версиях Strapi до 5.45.0 промежуточное по программам с ограничением скорости в плагине user-разрешения частично получило свою ключи от `ctx.request.body.email`, в том числе на маршрутах, схема тела которых не содержит поля электронной почты (://@auth/local`, `/auth/reset-password`, `/auth/change-password`, `/auth/change-password`). Неаутентифицированный злоумышленник может включать произвольное значение электронной почты в орган запроса для получения нового ключа с ограниченным тарифом за запрос, эффективно обходя дросселирование по IP на этих маршрутах и позволяя создавать большие полномочия, сбрасывая код паролей, грубую силу и попытки начинки учетных данных. Ключ с лимитом ставки был построен как `${userIdentifier}:${requestPath}:${ctx.request.ip}`, где `userIdentifier = ctx.request.body.email`. На маршрутах, которые законно используют электронную почту в качестве своего идентификатора (например, `/auth/forgot-password`, `/auth/local/register`), этот скопирование является правильным. На маршрутах, которые используют другой идентификатор («идентификатор» для входа, «код `` для сброса пароля, «текущий пароль» для смены пароля), поле электронной почты не было частью договора маршрута, но промежутоное обеспечение все еще включало его в ключ, позволяя абоненту вращать значение и получать уникальный ключ по каждому запросу. Патч в версии 5.45.0 поддерживает разрешительный список маршрутов, которые законно ключаются в поле электронной почты, и исключает этот ключевой компонент на каждом другом маршруте, на котором установлен промежуточный аппарат. Пути обратного вызова OAuth (`/connect/*`) обрабатываются без идентификатора. На маршрутах за пределами разрешающего списка промежуточный аппарат теперь возвращается к фиксированному ключу без идентификатора, гарантируя, что дросселирование по IP остается эффективным даже при том, что орган запроса контролируется злоумышленником.
CVE-2022-0764Произвольная инъекция команд в репозитории GitHub strapi/strapi до версии 4.1.0.