Аутентифицированный пользователь с доступом к панели администратора Strapi может просматривать частные и конфиденциальные данные, такие как…

Аутентифицированный пользователь с доступом к панели администратора Strapi может просматривать частные и конфиденциальные данные, такие как электронная почта и токены сброса пароля, для других пользователей панели администратора, которые имеют отношения (например, созданы, обновлены) с контентом, доступным аутентифицированному пользователю. Например, учетная запись с ролью «автор» с низкими привилегиями может просматривать эти сведения в ответе JSON для «редактора» или «супер администратора», который обновил один из сообщений блога автора. Существует также много других сценариев, в которых такие сведения от других пользователей могут просочиться в ответе JSON либо через прямую, либо через косвенную связь. Доступ к этой информации позволяет пользователю скомпрометировать учетные записи других пользователей, успешно вызвав рабочий процесс сброса пароля. В худшем случае пользователь с низкими привилегиями может получить доступ к учетной записи «супер администратора» с полным контролем над экземпляром Strapi и может читать и изменять любые данные, а также блокировать доступ как к панели администратора, так и к API, отменяя привилегии для всех других пользователей.