Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Schwachstellen im Ghost-Newsletter-System gefunden
Januar 3, 2023 - TuxCare PR Team
Laut Cisco Talos gibt es zwei Schwachstellen im Ghost CMS Newsletter-Abonnement-System, CVE-2022-41654 und CVE-2022-41697, in der Newsletter-Abonnement-Funktion von Ghost Foundation Ghost 5.9.4.
Externe Benutzer können die Schwachstellen ausnutzen, um neue Newsletter zu erstellen oder bestehende zu ändern. Externe Akteure können auch Newsletter erstellen oder bestehende Newsletter ändern, indem sie bösartiges JavaScript in sie einfügen.
Die Sicherheitslücke zur Umgehung der Authentifizierung, die als CVE-2022-41654 (CVSS-Score: 9.6) und CVE-2022-41697 verfolgt wird, ermöglicht es nicht berechtigten Benutzern, unbefugte Änderungen an den Newsletter-Einstellungen vorzunehmen.
CVE-2022-41654 ermöglicht es Mitgliedern (nicht privilegierten Benutzern), Newsletter-Einstellungen auf Websites zu ändern, auf denen Mitglieder standardmäßig aktiviert sind. Dadurch können nicht privilegierte Benutzer Einstellungen anzeigen und ändern, auf die sie eigentlich keinen Zugriff haben sollten. Sie sind nicht in der Lage, ihre Privilegien dauerhaft zu erweitern oder Zugriff auf zusätzliche Informationen zu erhalten. Dieses Problem wurde durch einen Fehler in der API-Validierung von verschachtelten Objekten verursacht.
Ein weiteres Problem, das auf dieselbe Schwachstelle zurückzuführen ist, ist die Möglichkeit, JavaScript in den Newsletter zu injizieren, was Ghost standardmäßig zulässt, wenn man davon ausgeht, dass nur Administratoren Zugriff auf diese leistungsstarke Funktion haben. Dies wurde aufgedeckt, als das Cisco Talos-Team diese Schwachstelle ausnutzte, um ein XSS-Objekt (Cross-Site-Scripting) in das System zu injizieren, das ausgelöst wurde, als der Administrator versuchte, den Standard-Newsletter zu bearbeiten.
CVE-2022-41697 hingegen ermöglicht es, dass eine speziell gestaltete HTTP-Anfrage zu erweiterten Berechtigungen führt. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine HTTP-Anfrage sendet. Die Verwendung einer unbekannten Eingabe führt zu einer Sicherheitslücke in der Zugriffskontrolle. CWE-284 resultiert aus der Verwendung von CWE, um das Problem zu deklarieren. Die Software schränkt den Zugriff nicht autorisierter Akteure auf eine Ressource nicht oder falsch ein. Die Vertraulichkeit, Integrität und Verfügbarkeit sind gefährdet.
Ghost hat die beiden Sicherheitslücken in der neuesten Version des CMS gepatcht.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
