【已复现】Strapi 多个高危漏洞安全风险通告第二次更新

奇安信CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

（注：奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节，订阅方式见文末。）

安全通告

Strapi 是下一代 headless CMS、开源、javascript，可以创建、管理内容丰富的体验并将其展示给任何数字设备。

近日，奇安信CERT监测到 Strapi 远程代码执行漏洞(CVE-2023-22621)和Strapi 信息泄露漏洞(CVE-2023-22894)，当在可公开访问的条目上存在由超级管理员用户创建或更新的集合的条目时，未经身份验证的远程攻击者可以组合利用这两个漏洞，在受害者服务器上执行任意代码。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

本次更新内容：

更新漏洞复现截图;

新增产品解决方案;

修改漏洞描述;

修改危害描述。

漏洞名称	Strapi 远程代码执行漏洞
公开时间	2023-04-20	更新时间	2023-04-21
CVE编号	CVE-2023-22621	其他编号	QVD-2023-9621
威胁类型	代码执行	技术类型	服务端模板注入
厂商	Strapi	产品	Strapi
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未发现	未发现	未发现	已公开
漏洞描述	Strapi 存在服务器端模板注入漏洞，拥有Strapi 管理面板访问权限的远程攻击者可以将精心设计的数据注入到电子邮件模板中，绕过安全检查，在请求该模板后，可以造成服务端模板注入，从而在服务器上执行任意代码。
影响版本	Strapi < 4.5.6
不受影响版本	Strapi >= 4.5.6
其他受影响组件	无

漏洞名称	Strapi 信息泄露漏洞
公开时间	2023-04-19	更新时间	2023-04-20
CVE编号	CVE-2023-22894	其他编号	QVD-2023-9622
威胁类型	代码执行	技术类型	信息暴露
厂商	Strapi	产品	Strapi
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
已发现	未发现	未发现	已公开
漏洞描述	Strapi存在信息泄露漏洞，由管理员创建或更新的集合条目可被公开访问时，允许未经身份验证的攻击者通过发送特制请求获取数据库内敏感信息。该漏洞可被利用来劫持Strapi管理员的帐户进一步攻击系统。
影响版本	3.2.1<=Strapi < 4.8.0
不受影响版本	Strapi >= 4.8.0
其他受影响组件	无

奇安信CERT已成功复现该漏洞利用链，截图如下：

官方已发布安全更新版本，受影响用户可以更新到Strapi 4.8.0及以上版本。

注：Strapi 3.x.x 已停止维护，不再发布安全更新，请更新到4.x。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对Strapi 多个高危漏洞的防护。

奇安信开源卫士已支持

奇安信开源卫士20230424. 244 版本已支持对Strapi 信息泄露漏洞(CVE-2023-22894)和Strapi 远程代码执行漏洞(CVE-2023-22621)的检测。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：7742，建议用户尽快升级检测规则库至2304241910以上。

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：7743，建议用户尽快升级检测规则库至2304241910以上。

[1]https://github.com/strapi/strapi/security/advisories/GHSA-2h87-4q2w-v4hf

[2]https://github.com/strapi/strapi/security/advisories/GHSA-jjqf-j4w7-92w8

[3]https://strapi.io/blog/security-disclosure-of-vulnerabilities-cve

2023年4月21日，奇安信 CERT发布安全风险通告；

2023年4月24日，奇安信 CERT发布安全风险通告第二次更新。

原文始发于微信公众号（奇安信 CERT）：【已复现】Strapi 多个高危漏洞安全风险通告第二次更新