CVE-2026-22707 in Upload Plugin
요약
\~에 의해 VulDB • 2026. 05. 15.
Strapi는 오픈 소스 헤드리스 콘텐츠 관리 시스템입니다. Strapi 5.33.3 이전 버전에서는 Upload 플러그인의 Content API 엔드포인트가 관리자가 구성한 MIME 타입 제한(`plugin.upload.security.allowedTypes` 및 `deniedTypes`)을 적용하지 않았습니다. 동일한 제한은 Admin Panel의 업로드 경로에서는 올바르게 적용되었습니다. Upload 플러그인의 `enforceUploadSecurity` 보안 체크는 관리자 업로드 컨트롤러에서 호출되었지만, Content API 컨트롤러에서는 누락되었습니다. Content API 핸들러인 `uploadFiles` 및 `replaceFile`(이들을 호출하는 `upload` 래퍼 포함)은 기본 업로드 서비스를 직접 호출하여 매직 바이트 기반 MIME 감지 및 구성된 허용/거부 목록을 모두 우회했습니다. 따라서 Content API 업로드 권한이 있는 인증된 사용자는 관리자가 명시적으로 금지한 HTML 및 SVG 콘텐츠와 같은 파일 유형을 업로드할 수 있었습니다. 업로드된 파일을 Admin Panel과 동일한 오리진에서 제공하는 배포 환경(기본 설정)에서 공격자는 관리자가 직접 열었을 때 Admin 오리진에서 JavaScript를 실행할 수 있는 HTML 또는 SVG 파일을 업로드하여 관리자 세션 하이재킹과 Admin API에 대한 인증된 관리 작업을 수행할 수 있었습니다. 버전 5.33.3의 패치는 `enforceUploadSecurity`를 래핑하는 공유 `prepareUploadRequest` 헬퍼를 도입하여 Content API 및 관리자 업로드 컨트롤러 모두에서 호출되도록 함으로써 모든 업로드 진입점에서 동일한 보안 정책 적용을 보장합니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.