David Johansson

**Nome do software vulnerável e versões afetadas** Strapi (versões afetadas não especificadas) **Descrição** Um usuário autenticado com acesso ao painel de administração do Strapi pode visualizar dados privados e confidenciais, como e-mails e tokens de redefinição de senha, de outros usuários do painel de administração que tenham uma relação com o conteúdo acessível ao usuário autenticado. Por exemplo, uma conta com a função de “autor” de privilégios reduzidos pode visualizar esses detalhes na resposta JSON de um “editor” ou “superadministrador” que tenha atualizado uma das postagens do blog do autor. O acesso a essas informações permite que um usuário comprometa as contas de outros usuários ao invocar com sucesso o fluxo de trabalho de redefinição de senha. No pior cenário possível, um usuário com privilégios limitados poderia obter acesso a uma conta de “superadministrador” com controle total sobre a instância do Strapi e poderia ler e modificar quaisquer dados, bem como bloquear o acesso tanto ao painel de administração quanto à API, revogando os privilégios de todos os outros usuários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Strapi (versões afetadas não especificadas) **Descrição** Um usuário autenticado com acesso ao painel de administração do Strapi pode visualizar dados privados e confidenciais, como e-mails e tokens de redefinição de senha, de usuários da API, caso os tipos de conteúdo acessíveis ao usuário autenticado contenham relações com usuários da API. Essas informações podem vazar na resposta JSON dentro do painel de administração, seja por meio de uma relação direta ou indireta. O acesso a essas informações permite que um usuário comprometa as contas desses usuários, caso os pontos de extremidade da API de redefinição de senha tenham sido habilitados. Na pior das hipóteses, um usuário com privilégios limitados poderia obter acesso a uma conta de API com privilégios elevados e poderia ler e modificar quaisquer dados, bem como bloquear o acesso tanto ao painel de administração quanto à API, revogando os privilégios de todos os outros usuários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.