【复现】Strapi远程代码执行漏洞的风险通告
2023-4-23 11:39:5 Author: 赛博昆仑CERT(查看原文) 阅读量:284 收藏

-赛博昆仑漏洞安全通告-

Strapi远程代码执行漏洞的风险通告

漏洞描述

Strapi 是一个开源的 CMS,开发者可以自由选择他们喜欢的开发工具和框架,内容编辑人员使用自有的应用程序来管理和分发他们的内容。
近日,赛博昆仑CERT监测到Strapi存在信息泄漏与远程代码执行漏洞,两个漏洞可以组合成完整的攻击链,当存在由管理员更新或创建可公开访问的API条目时,未经身份验证的攻击者可利用CVE-2023-22894重置管理员的密码,而后可利用CVE-2023-22621在服务器上执行任意代码。

漏洞名称

Strapi信息泄漏漏洞

漏洞公开编号

CVE-2023-22894

昆仑漏洞库编号

CYKL-2023-005373

漏洞类型

信息泄漏

公开时间

2023-04-19

漏洞等级

高危

评分

暂无

漏洞所需权限

无权限要求

漏洞利用难度

PoC状态

未知

EXP状态

未知

漏洞细节

已有

在野利用

未知

漏洞名称

Strapi远程代码执行漏洞

漏洞公开编号

CVE-2023-22621

昆仑漏洞库编号

CYKL-2023-005374

漏洞类型

远程代码执行

公开时间

2023-04-19

漏洞等级

高危

评分

暂无

漏洞所需权限

管理员权限

漏洞利用难度

PoC状态

未知

EXP状态

未知

漏洞细节

已有

在野利用

未知

影响版本
CVE-2023-22621 远程代码执行漏洞 Strapi <= 4.5.5
CVE-2023-22894 信息泄漏漏洞 Strapi <= 4.7.1
利用条件
  • CVE-2023-22894 信息泄漏漏洞:需要存在管理员创建或更新过的API条目,并且该API条目可公开访问。
  • CVE-2023-22621 远程代码执行漏洞:默认配置下,攻击者拥有管理员权限即可利用该漏洞。
漏洞复现

目前赛博昆仑CERT已确认漏洞原理,复现过程如下:

使用CVE-2023-22894获取管理员邮箱并重置密码,以管理员身份登录后使用CVE-2023-22621执行任意代码

防护措施

目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本 4.8.0及以上。

下载地址:https://github.com/strapi/strapi/releases

技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。

联系邮箱:[email protected]
公众号:赛博昆仑CERT
参考链接
https://github.com/strapi/strapi/security/advisories/GHSA-jjqf-j4w7-92w8
https://github.com/strapi/strapi/security/advisories/GHSA-2h87-4q2w-v4hf
时间线
2023年4月23日,赛博昆仑CERT发布漏洞应急通告


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484102&idx=1&sn=d4beb3280ee123f06a4f53d655ab4695&chksm=c12aff47f65d7651f4b5afcfd216b4e62c6e2a47762aabb88d5c3a6cbff2d4fb5d84ad6a0134#rd
如有侵权请联系:admin#unsafe.sh