CVE-2022-32114

Strapi versão 4.1.12

Uma vulnerabilidade de upload de arquivos sem restrições na função “Adicionar novos ativos” permite que invasores realizem ataques XSS por meio de um arquivo PDF malicioso. A documentação do projeto sugere que um usuário com a permissão “Criar (upload)” na Biblioteca de Mídia deve ser capaz de fazer upload de arquivos PDF contendo JavaScript, e que todos os arquivos em uma pasta de ativos pública são acessíveis ao mundo externo (a menos que o nome do arquivo comece com um ponto). O administrador pode optar por permitir apenas arquivos de imagem, vídeo e áudio (ou seja, não PDF), se desejar. Os invasores também podem executar código arbitrário por meio de um arquivo malicioso. Depois que um invasor autenticado faz o upload de um arquivo contendo uma URL maliciosa, a vítima copia e cola a URL maliciosa em uma nova guia para receber a carga útil XSS.

Como solução temporária, considere desativar a funcionalidade de upload de arquivos na função “Adicionar novos ativos” até que uma correção esteja disponível. Restrinja o acesso à pasta de ativos públicos para minimizar o risco de exploração. O administrador pode optar por permitir apenas arquivos de imagem, vídeo e áudio (ou seja, não PDF) para reduzir o risco de execução de código arbitrário. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.