CVE-2022-30618

Strapi (versões afetadas não especificadas)

Um usuário autenticado com acesso ao painel de administração do Strapi pode visualizar dados privados e confidenciais, como e-mails e tokens de redefinição de senha, de usuários da API, caso os tipos de conteúdo acessíveis ao usuário autenticado contenham relações com usuários da API. Essas informações podem vazar na resposta JSON dentro do painel de administração, seja por meio de uma relação direta ou indireta. O acesso a essas informações permite que um usuário comprometa as contas desses usuários, caso os pontos de extremidade da API de redefinição de senha tenham sido habilitados. Na pior das hipóteses, um usuário com privilégios limitados poderia obter acesso a uma conta de API com privilégios elevados e poderia ler e modificar quaisquer dados, bem como bloquear o acesso tanto ao painel de administração quanto à API, revogando os privilégios de todos os outros usuários.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.