CVE-2024-34065 in Strapi
Tóm tắt
Bởi VulDB • 13/07/2026
Strapi là một hệ thống quản lý nội dung mã nguồn mở. Bằng cách kết hợp hai lỗ hổng (một `Open Redirect` và việc gửi token phiên dưới dạng tham số truy vấn URL) trong @strapi/plugin-users-permissions trước phiên bản 4.24.2, kẻ tấn công chưa xác thực có thể vượt qua cơ chế xác thực và lấy cắp các token của bên thứ ba. Cuộc tấn công yêu cầu sự tương tác từ người dùng (chỉ cần một cú nhấp chuột). Kẻ tấn công chưa xác thực có thể khai thác hai lỗ hổng này để chiếm được token của bên thứ ba và bỏ qua cơ chế xác thực của các ứng dụng Strapi. Người dùng nên nâng cấp @strapi/plugin-users-permissions lên phiên bản 4.24.2 để nhận bản vá lỗi.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.