一、背景介绍
近日,市委网信办技术支撑单位监测到 Strapi远程代码执行漏洞(CVE-2023-22621)和 Strapi信息泄露漏洞(CVE-2023-22894),当在可公开访问的条目上存在由超级管理员用户创建或更新的集合的条目时,未经身份验证的远程攻击者可以结合利用这两个漏洞,在受害者服务器上执行任意代码。建议尽快做好自查及防护。
1.1 漏洞描述
1.1.1 Strapi远程代码执行漏洞(CVE-2023-22621)
Strapi 存在服务器端模板注入漏洞,拥有 Strapi管理面板访问权限的远程攻击者可以将精心设计的有效载荷注入到电子邮件模板中,绕过本应阻止代码执行的验证检查,从而在服务器上执行任意代码。
1.1.2 Strapi信息泄露漏洞(CVE-2023-22894)
Strapi存在信息泄露漏洞,当在可公开访问的条目上存在由超级管理员用户创建或更新的集合的条目时,该漏洞允许未经验证的攻击者获取敏感的用户详细信息,包括管理员和 API用户。该漏洞可能被利用来劫持 Strapi管理员的帐户,获取未经授权的 Strapi超级管理员访问权限,并通过泄露密码重置标记和更改管理员密码来进一步攻击系统。
1.2 漏洞编号
CVE-2023-22621
CVE-2023-22894
1.3漏洞等级
高危
二、修复建议
官方已发布安全更新版本,受影响用户可以更新到 Strapi 4.8.0 及以上版本:
注: Strapi 3.x.x 已停止维护,不再发布安全更新,请更新到 4.x。
