Strapi身份验证绕过漏洞
Strapi是一套开源的内容管理系统(CMS)。
一、漏洞分析
公开日期:2023-03-09
漏洞编号:CNVD-2023-29764/CVE-2022-22893
危害等级:高危
漏洞描述:Strapi存在身份验证绕过漏洞,攻击者可利用该漏洞伪造使用“无”类型算法签名的ID令牌,以绕过身份验证并模拟任何使用AWS Cognito进行身份验证的用户。
二、漏洞影响产品
strapi strapi <=4.5.6
三、漏洞处置建议
厂商已提供漏洞修补方案,请关注厂商主页及时更新:
https://strapi.io//
