CVE-2026-22599

Nome do Software Vulnerável e Versões Afetadas Strapi versões 4.0.0 até 4.26.0 Strapi versões 5.0.0 até 5.33.1

Description Uma injeção de consulta de banco de dados existe na API de escrita do Content-Type Builder. Um administrador autenticado pode injetar instruções arbitrárias de banco de dados através do atributo column.defaultTo durante a criação ou modificação de um tipo de conteúdo. Ao definir defaultTo como uma tupla [value, { isRaw: true }], o valor é passado diretamente para a função db.connection.raw() do Knex sem sanitização, permitindo a execução de instruções arbitrárias na camada do banco de dados. Dependendo do mecanismo de banco de dados utilizado, isso pode levar à leitura arbitrária de arquivos via funções utilitárias do banco de dados, negação de serviço através de travamentos forçados do servidor durante a migração do esquema, ou execução remota de código contra o servidor de banco de dados em mecanismos que permitem a execução de programas externos. O problema afeta o endpoint '/content-type-builder/content-types' e APIs de escrita relacionadas.

Recommendations Atualizar as versões 4.0.0 até 4.26.0 para 4.26.1. Atualizar as versões 5.0.0 até 5.33.1 para 5.33.2. Restringir o acesso ao endpoint '/content-type-builder/content-types' e APIs de escrita relacionadas apenas ao modo de desenvolvimento.