CVE-2024-34065 in Strapi
要約
〜によって VulDB • 2026年07月13日
Strapiはオープンソースのコンテンツマネジメントシステムです。バージョン4.24.2以前の@strapi/plugin-users-permissionsにおける「Open Redirect」と「セッショントークンがURLクエリパラメータとして送信される」の2つの脆弱性を組み合わせることで、認証されていない攻撃者が認証メカニズムを回避し、サードパーティ製トークンを取得することが可能です。この攻撃にはユーザーの操作(ワンクリック)が必要です。認証されていない攻撃者はこれらの2つの脆弱性を利用してサードパーティ製トークンを入手し、Strapiアプリケーションの認証をバイパスできます。ユーザーはパッチ適用のため、@strapi/plugin-users-permissionsをバージョン4.24.2にアップグレードする必要があります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.