One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8361319 |
| Date de publication | 2023-07-25 15:15:13 (vue: 2023-07-25 17:06:42) |
| Titre | CVE-2023-34093 |
| Texte | Strapi est un système de gestion de contenu sans tête open source.Avant la version 4.10.8, n'importe qui (développeurs Strapi, utilisateurs, plugins) peut rendre chaque attribut d'un public de type contenu sans le savoir.La vulnérabilité n'affecte que la gestion des types de contenu par Strapi, pas les types de contenu réels eux-mêmes.Les utilisateurs peuvent utiliser des plugins ou modifier leurs propres types de contenu sans se rendre compte que le Getter `` PrivateAttributes 'est supprimé, ce qui peut entraîner un attribut de devenir public.Cela peut entraîner l'exposition d'informations sensibles ou l'ensemble du système a pris le contrôle par un attaquant (ayant accès aux hachages de mot de passe).N'importe qui peut être touché, selon la façon dont les gens utilisent / étendent les types de contenu.Si les utilisateurs mutent le type de contenu, ils ne seront pas affectés.La version 4.10.8 contient un correctif pour ce problème.
Strapi is an open-source headless content management system. Prior to version 4.10.8, anyone (Strapi developers, users, plugins) can make every attribute of a Content-Type public without knowing it. The vulnerability only affects the handling of content types by Strapi, not the actual content types themselves. Users can use plugins or modify their own content types without realizing that the `privateAttributes` getter is being removed, which can result in any attribute becoming public. This can lead to sensitive information being exposed or the entire system being taken control of by an attacker(having access to password hashes). Anyone can be impacted, depending on how people are using/extending content-types. If the users are mutating the content-type, they will not be affected. Version 4.10.8 contains a patch for this issue. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 34093 `privateattributes` access actual affected affects any anyone are attacker attribute becoming being can contains content control cve depending developers entire every exposed getter handling hashes having headless how impacted information issue knowing lead make management modify mutating not only open own password patch people plugins prior public realizing removed result sensitive source strapi system taken themselves type types use users using/extending version vulnerability which will without |
| Tags | Vulnerability |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.