CVE-2026-22707 in Upload Plugin
Zusammenfassung
von VulDB • 22.05.2026
Strapi ist ein Open-Source-Headless-Content-Management-System. In Strapi-Versionen vor 5.33.3 haben die Content-API-Endpunkte des Upload-Plugins die vom Administrator konfigurierten MIME-Typ-Einschränkungen (`plugin.upload.security.allowedTypes` und `deniedTypes`) nicht durchgesetzt. Dieselben Einschränkungen wurden korrekt für den Upload-Pfad im Admin-Panel durchgesetzt. Die Sicherheitsprüfung `enforceUploadSecurity` des Upload-Plugins wurde im Admin-Upload-Controller aufgerufen, fehlte jedoch im Content-API-Controller. Die Content-API-Handler `uploadFiles` und `replaceFile` (sowie der `upload`-Wrapper, der an diese weiterleitet) riefen den zugrunde liegenden Upload-Service direkt auf und umgingen dabei sowohl die MIME-Erkennung über Magic-Bytes als auch die konfigurierten Allow-/Deny-Listen. Ein authentifizierter Benutzer mit der Berechtigung zum Hochladen über die Content-API konnte daher Dateitypen hochladen, die der Administrator explizit verboten hatte, einschließlich HTML- und SVG-Inhalten. In Bereitstellungen, bei denen hochgeladene Dateien vom gleichen Ursprung wie das Admin-Panel bereitgestellt werden (Standard), konnte ein Angreifer eine HTML- oder SVG-Datei hochladen, die beim direkten Öffnen durch einen Administrator JavaScript im Ursprung des Admin-Bereichs ausführte, was zur Übernahme der Admin-Sitzung und zu authentifizierten administrativen Aktionen gegen die Admin-API führte. Der Patch in Version 5.33.3 führt einen gemeinsamen `prepareUploadRequest`-Hilfsdienst ein, der `enforceUploadSecurity` umschließt und sowohl vom Content-API- als auch vom Admin-Upload-Controller aufgerufen wird, wodurch eine identische Durchsetzung der Sicherheitsrichtlinie an jedem Upload-Eingangspunkt gewährleistet ist.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.