一、 漏洞 CVE-2024-56143 基础信息
漏洞信息
                                        # Strapi 私有字段未授权访问漏洞

## 概述

Strapi 是一个开源的无头内容管理系统。在版本 5.0.0 至 5.5.2 之前,文档服务提供的查找操作符未正确对查询参数中的私有字段进行过滤,导致攻击者可通过构造恶意查询访问这些私有字段。

## 影响版本

受影响版本:`v5.0.0` 至 `v5.5.2`(不包含 5.5.2)

## 细节

文档服务中的 lookup 操作符在处理查询参数时,未对私有字段进行充分的过滤或脱敏处理。攻击者可利用该缺陷,通过包含特定 lookup 参数的查询语句,获取被标记为私有的数据。

## 影响

攻击者可能访问到包含管理员密码和密码重置令牌在内的敏感数据,导致信息泄露或进一步的攻击(如越权访问、密码重置等)。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Strapi Allows Unauthorized Access to Private Fields via parms.lookup
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Strapi is an open-source headless content management system. In versions from 5.0.0 to before 5.5.2, the lookup operator provided by the document service does not properly sanitize query parameters for private fields. An attacker can access private fields, including admin passwords and reset tokens, by crafting queries with the lookup parameter. This vulnerability is fixed in 5.5.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通过用户控制密钥绕过授权机制
来源:美国国家漏洞数据库 NVD
漏洞标题
Strapi 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Strapi是法国strapi社区的一套开源的内容管理系统(CMS)。 Strapi 5.0.0版本至5.5.2之前版本存在安全漏洞,该漏洞源于文档服务的查找操作未正确清理私有字段的查询参数,可能导致攻击者通过特制查询访问私有字段。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-56143 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-56143 的情报信息
四、漏洞 CVE-2024-56143 的评论

暂无评论

发表评论