PT-2020-16756 · Strapi · Strapi
Lukáš Václavík
+1
·
Publicado
2020-10-22
·
Atualizado
2021-05-10
·
CVE-2020-27664
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Strapi anteriores à 3.2.5
Descrição
O problema diz respeito a uma funcionalidade indesejada
/proxy?url= no arquivo admin/src/containers/InputModalStepperProvider/index.js. Essa funcionalidade pode ser explorada, mas não foram fornecidos detalhes sobre incidentes reais ou o número estimado de dispositivos potencialmente afetados.Recomendações
Para versões anteriores à 3.2.5, atualize para a versão 3.2.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint
/proxy?url= até que a atualização seja aplicada.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Strapi