CVE-2026-27886

Nome do Software Vulnerável e Versões Afetadas Strapi versões 4.0.0 até 5.36.1

Descrição O Strapi não sanitizava adequadamente os parâmetros de consulta ao filtrar conteúdo por meio de campos relacionais. Um invasor não autenticado poderia usar o parâmetro de consulta where em qualquer tipo de conteúdo acessível publicamente com um campo updatedBy (ou outra relação de administrador) para realizar um ataque de oráculo booleano contra campos privados na tabela admin users associada, incluindo o campo resetPasswordToken. Um ataque de oráculo booleano é uma técnica na qual um invasor infere dados observando se um sistema retorna uma resposta verdadeira ou falsa (como uma alteração no número de resultados retornados). A extração de um token de redefinição de administrador por meio deste método permite a invasão total de contas administrativas sem autenticação.

Quando um filtro como where[updatedBy][resetPasswordToken][$startsWith]=a é aplicado a um endpoint público da Content API, o sistema executa um LEFT JOIN com a tabela admin users e emite uma cláusula WHERE referenciando a coluna associada. A camada de sanitização não bloqueava cadeias de operadores que atravessavam esquemas de alvos relacionais para os quais o chamador não tinha permissão de leitura, permitindo que a contagem de respostas servisse como um oráculo de um bit em qualquer campo da tabela de administrador.

Recomendações Atualize o Strapi para a versão 5.37.0 ou posterior.