CVE-2022-0764

Versões do Strapi anteriores à 4.1.0

A vulnerabilidade está relacionada à injeção de comando arbitrário no repositório do Strapi. Isso ocorre devido à sanitização inadequada das entradas do usuário, especificamente ao criar um aplicativo Strapi usando o argumento de linha de comando template. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi divulgado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos sobre a exploração incluem o uso do argumento de linha de comando template, que permite a injeção de comando arbitrário devido à falta de sanitização adequada das entradas.

Para versões anteriores à 4.1.0, atualize para a versão 4.1.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso do argumento template da CLI para minimizar o risco de exploração. Evite usar o argumento template da CLI no endpoint da API afetado até que o problema seja resolvido.