CVE-2026-22599 in Strapiالمعلومات

الملخص

بحسب VulDB • 14/05/2026

سترابي (Strapi) هو نظام إدارة محتوى مفتوح المصدر من نوع Headless. في الإصدارات من فرع 4.x السابقة لـ 4.26.1، ومن فرع 5.x السابقة لـ 5.33.2، كان يوجد ثغرة حقن استعلام قاعدة البيانات في واجهة برمجة التطبيقات للكتابة (write API) الخاصة بـ Strapi Content-Type Builder. يمكن لمسؤول موثق الدخول حقن عبارات قاعدة بيانات تعسفية من خلال السمة `column.defaultTo` عند إنشاء أو تعديل نوع محتوى. أدى تعيين `defaultTo` كـ tuple `[value, { isRaw: true }]` إلى تمرير القيمة مباشرةً إلى `db.connection.raw()` في مكتبة Knex أثناء ترحيل المخطط (schema migration) دون تعقيم (sanitization)، مما مكن من تنفيذ عبارات تعسفية على مستوى قاعدة البيانات. اعتماداً على محرك قاعدة البيانات، سمح ذلك بقراءة ملفات تعسفية عبر وظائف مساعدة لقاعدة البيانات، وحرمان الخدمة (DoS) عبر إجهاض الخادم قسراً عند حدوث خطأ في ترحيل المخطط، وعلى المحركات التي تسمح بتنفيذ البرامج الخارجية، تنفيذ كود عن بُعد (RCE) على خادم قاعدة البيانات. يعالج التصحيح في الإصدارات 4.26.1 و 5.33.2 هذه المشكلة عن طريق تقييد جميع واجهات برمجة التطبيقات للكتابة في Content-Type Builder لوضع التطوير فقط. تعيد عمليات النشر في بيئة الإنتاج التي تعمل بالإصدار 5.33.2 أو أحدث إرجاع رمز الحالة 404 للطلبات الموجهة إلى `/content-type-builder/content-types` والنقاط الطرفية ذات الصلة، مما يزيل سطح الهجوم القابل للوصول عبر الشبكة تماماً.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

07/01/2026

إفشاء

14/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363962

CPE

جاهز

CWE

CWE-89 (مؤكد)

CVSS

7.2 (NVD)

EPSS

0.00128

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-22599
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-22599
CVE Details	https://www.cvedetails.com/cve/CVE-2026-22599/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!