CVE-2026-22707 in Upload Plugininformación

Resumen

por VulDB • 2026-05-15

Strapi es un sistema de gestión de contenidos (CMS) headless de código abierto. En las versiones de Strapi anteriores a la 5.33.3, los puntos de conexión de la API de Contenido del plugin de carga (Upload plugin) no aplicaban las restricciones de tipo MIME configuradas por el administrador (`plugin.upload.security.allowedTypes` y `deniedTypes`). Las mismas restricciones se aplicaban correctamente en la ruta de carga del Panel de Administración. La comprobación de seguridad `enforceUploadSecurity` del plugin de carga se invocaba en el controlador de carga del administrador, pero faltaba en el controlador de la API de Contenido. Los manejadores de la API de Contenido `uploadFiles` y `replaceFile` (junto con el envoltorio `upload` que los invoca) llamaban directamente al servicio de carga subyacente, eludiendo tanto la detección de MIME mediante magic-bytes como las listas de permitidos y denegados configuradas. Por lo tanto, un usuario autenticado con el permiso de carga de la API de Contenido podía subir tipos de archivos que el administrador había denegado explícitamente, incluyendo contenido HTML y SVG. En implementaciones que sirven los archivos cargados desde el mismo origen que el panel de administración (configuración predeterminada), un atacante podría subir un archivo HTML o SVG que, al ser abierto directamente por un administrador, ejecutara JavaScript en el origen del administrador, lo que permitiría el secuestro de la sesión de administrador y la realización de acciones administrativas autenticadas contra la API de administración. El parche en la versión 5.33.3 introduce un auxiliar compartido `prepareUploadRequest` que envuelve `enforceUploadSecurity` y se llama tanto desde los controladores de carga de la API de Contenido como desde los del administrador, garantizando una aplicación idéntica de la política de seguridad en cada punto de entrada de carga.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgación

2026-05-14

Moderación

aceptado

Artículo

VDB-363886

CPE

listo

EPSS

0.00034

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-22707
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-22707
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-22707/

AnteriorVisión De ConjuntoPróximo

Do you need the next level of professionalism?

Upgrade your account now!