Strapi SQL注入漏洞
Strapi是一套开源的内容管理系统(CMS)。
一、漏洞分析
公开日期:2022-12-16
漏洞编号:CNVD-2022-88813/CVE-2022-31367
危害等级:高危
漏洞描述:Strapi 3.6.10之前版本和4.0.0及其之后,4.1.10之前版本存在SQL注入漏洞,该漏洞源于其错误地处理admin API响应中的隐藏属性。攻击者可利用漏洞获取数据库数据。
二、漏洞影响产品
strapi strapi <3.6.10
strapi strapi 4.*,<4.1.10
三、漏洞处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/strapi/strapi/releases/tag/v4.1.10
