漏洞简述
近日瑞数安全实验室RiversecLab监测到STRAPI 官方修复了多个Strapi 安全漏洞,包含了三个高危安全漏洞,Strapi 服务器端模板注入漏洞,Strapi 信息泄露漏洞,Strapi 身份验证绕过漏洞。Strapi 服务器端模板注入漏洞和 Strapi 信息泄露漏洞组合可实现未经身份验证的远程代码执行。Strapi 是一个流行的 Node.js 内容管理框架(headless-CMS),可轻松构建强大的 API。目前漏洞与利用方式细节已经公开,影响范围较大,请受影响的用户尽快采取相应的安全措施进行防护。
Strapi服务器端模板注入漏洞(CNNVD-202304-1615 / CVE-2023-22621)
Strapi 中存在一个服务器端模板注入 (SSTI) 漏洞,拥有超级管理员权限的攻击者可以通过将恶意payload注入电子邮件模板,从而绕过验证函数isValidEmailTemplate 的检查,可实现在服务端执行任意代码,从而获取服务器权限控制服务器。
Strapi信息泄露漏洞(CNNVD-202304-1613 / CVE-2023-22894)
Strapi 中存在一个信息泄露漏洞,拥有管理面板权限的攻击者可通过查询过滤器来获取Strapi 管理员和 API 用户的详细信息,利用此漏洞可以劫持Strapi 管理员帐户,通过泄露密码重置令牌和更改管理员密码来获得Strapi 超级管理员的权限。
Strapi身份验证绕过漏洞(CNNVD-202304-1614 / CVE-2023-22893)
Strapi 中存在一个身份验证绕过漏洞,当使用AWS Cognito login provider 用于身份验证时,Strapi 不会验证在OAuth 流程中发出的访问或者ID 令牌。攻击者可以伪造使用 "None" 类型算法签名的ID令牌,绕过身份验证获取相应的权限,并且可以伪装冒充成使用AWS Cognito login provider 身份验证的用户进行恶意操作。
影响范围
CNNVD-202304-1615 / CVE-2023-22621:Strapi 版本<= 4.5.5
CNNVD-202304-1613 / CVE-2023-22894:3.2.1<= Strapi 版本< 4.8.0
CNNVD-202304-1614 / CVE-2023-22893:3.2.1<= Strapi 版本< 4.6.0
危害等级:高
修复建议
01、官方升级
官方已发布对应安全漏洞的修复版本,建议受影响的用户及时升级防护,(或者升级至最新版本),对应修复版本如下:
CNNVD-202304-1615 / CVE-2023-22621:Strapi 版本 >=4.5.6
CNNVD-202304-1613 / CVE-2023-22894:Strapi 版本 >=4.8.0
CNNVD-202304-1614 / CVE-2023-22893:Strapi 版本 >=4.6.0
下载链接:
https://github.com/strapi/strapi/releases
02、瑞数产品侧防御
瑞数API 安全管控平台(API BotDefender)可以从多个维度实现对该漏洞的感知、发现、监测和保护。
1. 感知识别API接口并加入到保护范围内
2. 监测未鉴权API访问并提前告警
3. 针对该漏洞的攻击详情特征已经加入管控平台特征库,对于该攻击行为可以精确识别
4. 对返回的敏感信息进行监测,并识别进行脱敏
5. 多维一体循环实现对API的保护
漏洞详情参考链接:
https://strapi.io/blog/security-disclosure-of-vulnerabilities-cve
https://www.ghostccamm.com/blog/multi_strapi_vulns/
https://github.com/strapi/strapi/releases
https://strapi.io/blog/security-disclosure-of-vulnerabilities-cve
https://cxsecurity.com/cveshow/CVE-2023-22621/
https://nvd.nist.gov/vuln/detail/CVE-2023-22894
https://cxsecurity.com/cveshow/CVE-2023-22893/
