Vulnerabilidad en Strapi Protected Populate (CVE-2023-48218)
Severidad:
MEDIA
Type:
No Disponible / Otro tipo
Fecha de publicación:
20/11/2023
Última modificación:
29/11/2023
Descripción
El complemento Strapi Protected Populate protege los endpoints "get" para que no revelen demasiada información. Antes de la versión 1.3.4, los usuarios podían omitir la seguridad a nivel de campo. Los usuarios que intentaron completar algo a lo que no tenían acceso podían completar esos campos de todos modos. Este problema se solucionó en la versión 1.3.4. No se conocen workarounds.
Impacto
Puntuación base 3.x
5.30
Severidad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:strapi:protected_populate:*:*:*:*:*:*:*:* | 1.3.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/strapi-community/strapi-plugin-protected-populate/commit/05441066d64e09dd55937d9f089962e9ebe2fb39
- https://github.com/strapi-community/strapi-plugin-protected-populate/releases/tag/v1.3.4
- https://github.com/strapi-community/strapi-plugin-protected-populate/security/advisories/GHSA-6h67-934r-82g7