Strapi多个安全漏洞通告
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
Strapi官方发布安全通告,修复了多个漏洞,其中两个漏洞可在目标系统上执行任意代码。建议受影响的用户及时升级防护。漏洞影响范围为Strapi <= 4.5.5和3.2.1<= Strapi < 4.8.0。攻击者可利用信息泄露漏洞劫持Strapi管理员帐户,通过泄露密码重置令牌和更改管理员密码来获得Strapi超级管理员的访问权限。同时,拥有超级管理员权限的攻击者可实现在目标系统上执行任意代码。
🎯
关键要点
-
Strapi官方发布安全通告,修复多个安全漏洞。
-
两个漏洞可在目标系统上执行任意代码,建议用户及时升级防护。
-
漏洞影响范围为Strapi <= 4.5.5和3.2.1<= Strapi < 4.8.0。
-
信息泄露漏洞(CVE-2023-22894)允许攻击者劫持管理员帐户。
-
远程代码执行漏洞(CVE-2023-22621)允许拥有超级管理员权限的攻击者执行任意代码。
-
受影响的用户应及时升级到官方发布的安全版本。
-
绿盟科技不对安全公告的内容承担任何责任,用户需自行负责。
➡️
