CVE-2026-22707 in Upload Pluginالمعلومات

الملخص

بحسب VulDB • 22/05/2026

سترابي (Strapi) هو نظام إدارة محتوى مفتوح المصدر من نوع Headless. في إصدارات سترابي السابقة للإصدار 5.33.3، لم تكن نقاط نهاية واجهة برمجة التطبيقات (API) للمحتوى الخاصة بإضافة الرفع (Upload plugin) تفرض قيود أنواع MIME المُعدّة من قبل المسؤول (`plugin.upload.security.allowedTypes` و `deniedTypes`). كانت نفس القيود تُفرض بشكل صحيح على مسار الرفع في لوحة الإدارة (Admin Panel). كان فحص الأمان `enforceUploadSecurity` الخاص بإضافة الرفع مُستدعىً في وحدة تحكم الرفع الخاصة بالإدارة، لكنه كان مفقوداً في وحدة تحكم واجهة برمجة التطبيقات للمحتوى. كانت معالجات واجهة برمجة التطبيقات للمحتوى `uploadFiles` و `replaceFile` (والمُغلّف `upload` الذي يُوجّه الطلبات إليهما) تستدعي خدمة الرفع الأساسية مباشرة، متجاوزةً كلًا من كشف أنواع MIME بناءً على البتات السحرية (magic-byte) وقوائم السماح/الرفض المُعدّة. وبالتالي، كان بإمكان المستخدم المصادق عليه الذي يمتلك إذن رفع ملفات عبر واجهة برمجة التطبيقات للمحتوى رفع أنواع ملفات كان المسؤول قد منعها صراحةً، بما في ذلك محتوى HTML و SVG. في البيئات التي تخدم الملفات المرفوعة من نفس المصدر الخاص بلوحة الإدارة (الإعداد الافتراضي)، يمكن لمهاجم رفع ملف HTML أو SVG، وعند فتحه مباشرة من قبل مسؤول، سيتم تنفيذ شفرة JavaScript ضمن أصل لوحة الإدارة، مما يتيح اختطاف جلسة المسؤول وتنفيذ إجراءات إدارية مُصادق عليها ضد واجهة برمجة التطبيقات الخاصة بالإدارة. يُدخل التصحيح في الإصدار 5.33.3 مساعدًا مشتركًا باسم `prepareUploadRequest` يُغلّف `enforceUploadSecurity` ويُستدعى من كل من وحدات تحكم رفع واجهة برمجة التطبيقات للمحتوى ووحدة تحكم الرفع الخاصة بالإدارة، مما يضمن فرض سياسة أمان متطابقة على كل نقطة دخول للرفع.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

المصادر