CMS Merobek Masalah Keamanan Pengungkapan Kerentanan


CMS Merobek Masalah Keamanan Pengungkapan Kerentanan
  • Strapi telah mengeluarkan penasehat keamanan, menyarankan pengguna untuk memperbarui versi Strapi mereka ke 4.xx
  • Strapi versi 3.xx kedaluwarsa pada Desember 2022.
  • Platform menambahkan bahwa kerentanan dapat disalahgunakan oleh penyerang.

Strapi, sistem manajemen konten (CMS) tanpa kepala open source telah merilis pengungkapan keamanan tentang kerentanan yang memperingatkan pengguna untuk memperbarui versi mereka Strapi 3.xx saat kedaluwarsa pada 31 Desember 2022. Platform memperingatkan pengguna untuk segera meningkatkan ke 4 .xx jika versi saat ini adalah 3.xx atau sebelumnya.

Menyusul peringatan keamanan, jurnalis China Collin Wu menarik perhatian komunitas Twitter dengan memposting di halaman resminya, Wu Blockchain, menciptakan kesadaran akan masalah ini:

Secara khusus, jurnalis tersebut menambahkan bahwa kerentanan tersebut dapat disalahgunakan oleh penyerang untuk mengambil alih akun Admin; dia menyarankan bahwa yang terbaik adalah memperbarui sesegera mungkin karena ada “sejumlah besar proyek di industri cryptocurrency” tergantung pada proyeknya.

Secara signifikan, Strapi mengatakan bahwa peneliti melaporkan pada 29 Desember 2022 bahwa kerentanan injeksi templat sisi server (SSTI) memengaruhi sistem templat email dari plugin otorisasi pengguna.

Secara rinci, kerentanan SSTI memfasilitasi modifikasi template email default, mengeksekusi “kode berbahaya” melalui eksekusi kode jarak jauh (RCE).

Menariknya, Strapi tidak tertarik untuk menyelidiki detail kerentanan, sebaliknya, platform tersebut ingin “berkomunikasi di IoC (indikator kompromi)”, sehingga mengarahkan pengguna untuk menganalisis apakah mereka telah terpengaruh.

Selain itu, Strapi mengungkapkan bahwa kerentanan dapat memengaruhi semua versi Strapi v3 dan Strapi v4 sebelum v4.5.6 dan menyarankan pengguna untuk memutakhirkan di luar v4.8.0.

Posting CMS Strapi Issues Security Disclosure of Vulnerabilities pertama kali muncul di Coin Edition.

Lihat aslinya di CoinEdition

Sumber