ストラップは、データの漏洩につながる2つのバグに対処するアップデートをリリースします from threcord.media(tech)

ストラップは、データの漏洩につながる2つのバグに対処するアップデートをリリースします
人気のあるオープンソースコンテンツ管理システム（CMS）のStrapiは、ハッカーが電子メールやパスワードのリセットトークンなどのプライベートデータや機密データを表示できるようにする2つの脆弱性に対処するパッチをリリースしました。
脆弱性は11月に発見され、Strapiはその同じ月に最初にCVE-2022-30617にパッチを適用しました。
彼のチームは、管理パネルで脆弱性を発見し、アカウントの侵害につながる可能性があると述べました。
「過度のデータ公開は非常に広範囲にわたる弱点であり、OWASP APIセキュリティトップ10リストに3としてリストされています。StrapiWebベースのUIにアクセスできる悪意のあるユーザー（コンテンツ作成者など）は、脆弱性を使用して他のアカウントを侵害する可能性があります。プラットフォーム」と彼は説明した。
「最悪のシナリオは、CVE-2022-30617（主にv3に影響を与える）とCVE-2022-30618（v3とv4の両方に影響を与える）の両方から生じる可能性のある結果ですが、実際には後者で発生する可能性ははるかに低くなります（ CVE-2022-30618）APIユーザーを対象としているため、このような強力な権限で構成されている可能性は低い」と彼は付け加えた。