CVE-2024-34065 in Strapithông tin

Tóm tắt

Bởi VulDB • 13/07/2026

Strapi là một hệ thống quản lý nội dung mã nguồn mở. Bằng cách kết hợp hai lỗ hổng (một `Open Redirect` và việc gửi token phiên dưới dạng tham số truy vấn URL) trong @strapi/plugin-users-permissions trước phiên bản 4.24.2, kẻ tấn công chưa xác thực có thể vượt qua cơ chế xác thực và lấy cắp các token của bên thứ ba. Cuộc tấn công yêu cầu sự tương tác từ người dùng (chỉ cần một cú nhấp chuột). Kẻ tấn công chưa xác thực có thể khai thác hai lỗ hổng này để chiếm được token của bên thứ ba và bỏ qua cơ chế xác thực của các ứng dụng Strapi. Người dùng nên nâng cấp @strapi/plugin-users-permissions lên phiên bản 4.24.2 để nhận bản vá lỗi.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

30/04/2024

Tiết lộ

12/06/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00710

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!