CVE-2022-30617

Strapi (versões afetadas não especificadas)

Um usuário autenticado com acesso ao painel de administração do Strapi pode visualizar dados privados e confidenciais, como e-mails e tokens de redefinição de senha, de outros usuários do painel de administração que tenham uma relação com o conteúdo acessível ao usuário autenticado. Por exemplo, uma conta com a função de “autor” de privilégios reduzidos pode visualizar esses detalhes na resposta JSON de um “editor” ou “superadministrador” que tenha atualizado uma das postagens do blog do autor. O acesso a essas informações permite que um usuário comprometa as contas de outros usuários ao invocar com sucesso o fluxo de trabalho de redefinição de senha. No pior cenário possível, um usuário com privilégios limitados poderia obter acesso a uma conta de “superadministrador” com controle total sobre a instância do Strapi e poderia ler e modificar quaisquer dados, bem como bloquear o acesso tanto ao painel de administração quanto à API, revogando os privilégios de todos os outros usuários.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.