CVE-2026-22707 in Upload Plugin
Tóm tắt
Bởi VulDB • 22/05/2026
Strapi là một hệ thống quản lý nội dung headless mã nguồn mở. Trong các phiên bản Strapi trước 5.33.3, các điểm cuối (endpoints) của API Nội dung trong plugin Upload không thực thi các hạn chế về loại MIME do quản trị viên cấu hình (`plugin.upload.security.allowedTypes` và `deniedTypes`). Các hạn chế tương tự được thực thi đúng đắn trên đường dẫn tải lên của Bảng điều khiển Admin. Kiểm tra bảo mật `enforceUploadSecurity` của plugin upload được gọi trong bộ điều khiển tải lên admin nhưng lại bị thiếu trong bộ điều khiển API Nội dung. Các trình xử lý API Nội dung `uploadFiles` và `replaceFile` (cùng với hàm bao `upload` điều hướng đến chúng) gọi trực tiếp dịch vụ tải lên cơ bản, bỏ qua cả việc phát hiện MIME dựa trên magic-byte và danh sách cho phép/không cho phép đã cấu hình. Do đó, một người dùng đã xác thực có quyền tải lên API Nội dung có thể tải lên các loại tệp mà quản trị viên đã rõ ràng cấm, bao gồm nội dung HTML và SVG. Trong các triển khai phục vụ các tệp đã tải lên từ cùng nguồn gốc với bảng điều khiển admin (mặc định), kẻ tấn công có thể tải lên một tệp HTML hoặc SVG, khi được mở trực tiếp bởi một quản trị viên, sẽ thực thi JavaScript trong nguồn gốc admin, cho phép đánh cắp phiên admin và thực hiện các hành động quản trị đã xác thực đối với API admin. Bản vá trong phiên bản 5.33.3 giới thiệu một hàm trợ giúp `prepareUploadRequest` dùng chung, bao bọc `enforceUploadSecurity` và được gọi từ cả bộ điều khiển API Nội dung và bộ điều khiển tải lên admin, đảm bảo việc thực thi chính sách bảo mật giống nhau trên mọi điểm nhập tải lên.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.