CVE-2026-22707

Nome do Software Vulnerável e Versões Afetadas @strapi/upload versões anteriores a 5.33.3

Description No plugin de Upload, os endpoints da Content API não aplicavam as restrições de tipo MIME configuradas pelo administrador em plugin.upload.security.allowedTypes e deniedTypes. Embora essas restrições estivessem ativas para o Painel de Administração, a verificação de segurança enforceUploadSecurity estava ausente no controlador da Content API. Consequentemente, os manipuladores uploadFiles e replaceFile, bem como o wrapper upload, ignoravam a detecção de MIME e as listas de permissão/bloqueio.

Um usuário autenticado com permissões de upload na Content API poderia enviar tipos de arquivos não permitidos, como HTML e SVG. Se os arquivos enviados forem servidos na mesma origem que o painel de administração, um invasor poderia enviar um arquivo HTML ou SVG malicioso. Quando aberto por um administrador, esse arquivo poderia executar JavaScript na origem do administrador, permitindo potencialmente o sequestro de sessão administrativa e ações administrativas não autorizadas via API de administração.

Recommendations Atualize o @strapi/upload para a versão 5.33.3 ou posterior.