一、 漏洞 CVE-2024-29181 基础信息
漏洞标题
@strapi/plugin-content-manager通过管理面板泄露数据,这涉及关系
来源:AIGC 神龙大模型
漏洞描述信息
Strapi是一款开源的内容管理系统。在4.19.1版本之前,超级管理员可以创建一个收藏,其中收藏中的一个项目与另一个收藏关联。当这种情况发生时,具有作者角色的另一个用户可以看到他们未创建的关联项目列表。他们应该只看到他们自己创建的项目,而不是所有曾经创建的项目。用户应该升级到4.19.1版本的`@strapi/plugin-content-manager`以获取补丁。 以下是这段内容的中文翻译: Strapi是一个开源的内容管理系统。在4.19.1版本之前的版本中,超级管理员可以创建一个集合,其中集合中的一个项目与另一个集合关联。当出现这种关联时,具有作者角色的另一个用户可以看到他们未创建的关联项目列表。他们应该只能看到自己创建的项目,而不是所有创建的项目。用户需要升级到`@strapi/plugin-content-manager`的4.19.1版本以获取修复程序。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
将资源暴露给错误范围
来源:AIGC 神龙大模型
漏洞标题
@strapi/plugin-content-manager leaks data via relations via the Admin Panel
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Strapi is an open-source content management system. Prior to version 4.19.1, a super admin can create a collection where an item in the collection has an association to another collection. When this happens, another user with Author Role can see the list of associated items they did not create. They should see nothing but their own items they created not all items ever created. Users should upgrade @strapi/plugin-content-manager to version 4.19.1 to receive a patch.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通过用户控制密钥绕过授权机制
来源:美国国家漏洞数据库 NVD
漏洞标题
Strapi 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Strapi是一套开源的内容管理系统(CMS)。 Strapi 4.19.1之前版本存在安全漏洞,该漏洞源于当超级管理员创建一个集合,其中集合中的项目与另一个集合有关联时,具有作者角色的另一个用户可以看到他们未创建的关联项目列表。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-29181 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-29181 的情报信息