CVE-2022-29894

MITJÀ: (6.4)

CVSS6: 5.6

Strapi és vulnerable a les seqüències entre llocs, causades per una validació incorrecta de l’entrada subministrada per l’usuari per la funció de càrrega de fitxers. Un atacant remot autenticat podria explotar aquesta vulnerabilitat per injectar un script maliciós en una pàgina web que s’executaria al navegador web d’una víctima en el context de seguretat del lloc web d’allotjament, un cop es visualitzi la pàgina. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en les galetes de la víctima.

Sistemes Afectats

• Strapi Strapi 3.5.1
• Strapi Strapi 3.5.2
• Strapi Strapi 3.6.0
• Strapi Strapi 3.6.8

Remediació
Actualitzeu a l’última versió de Strapi (4.1.11 o posterior), disponible des del repositori GIT Strapi.

Referències

• http://jvn.jp/en/jp/JVN44550983/index.html
• https://strapi.io
• https://github.com/strapi/strapi/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29894