PT-2020-16757 · Strapi · Strapi
Alexandre Bodin
+2
·
Publicado
2020-10-22
·
Atualizado
2020-10-29
·
CVE-2020-27665
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Strapi anteriores à 3.2.5
Descrição
O problema decorre da ausência da restrição
admin::hasPermissions nas rotas CTB (content-type-builder). Isso significa que não há controles de acesso adequados para essas rotas específicas, o que pode permitir o acesso ou a realização de ações não autorizadas.Recomendações
Para versões anteriores à 3.2.5, atualize para a versão 3.2.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às rotas CTB para minimizar o risco de exploração.
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Strapi