CVE-2026-22599 in Strapi
Сводка
по VulDB • 29.05.2026
Strapi — это система управления контентом с открытым исходным кодом (headless CMS). В версиях ветки 4.x до 4.26.1 и ветки 5.x до 5.33.2 в API записи Strapi Content-Type Builder существовала уязвимость инъекции в базу данных. Аутентифицированный администратор мог внедрять произвольные операторы базы данных через атрибут `column.defaultTo` при создании или изменении типа контента. Установка значения `defaultTo` в виде кортежа `[value, { isRaw: true }]` приводила к передаче значения напрямую в функцию `db.connection.raw()` библиотеки Knex во время миграции схемы без санитизации, что позволяло выполнять произвольные операторы на уровне базы данных. В зависимости от используемого механизма базы данных это позволяло выполнять произвольное чтение файлов с помощью утилитных функций базы данных, отказывать в обслуживании (DoS) путем принудительного падения сервера при ошибке миграции схемы, а на механизмах, поддерживающих выполнение внешних программ, — выполнять удаленный код (RCE) на сервере базы данных. Патч в версиях 4.26.1 и 5.33.2 устраняет эту проблему, ограничивая использование всех API записи Content-Type Builder только режимом разработки. Развертывания в производственной среде, работающие на версии 5.33.2 или более поздней, возвращают статус 404 для запросов к `/content-type-builder/content-types` и связанным конечным точкам, полностью устраняя атакуемую поверхность, доступную через сеть.
If you want to get best quality of vulnerability data, you may have to visit VulDB.