Vulnérabilités découvertes dans le système Ghost Newsletter
Selon Cisco Talos, deux vulnérabilités, CVE-2022-41654 et CVE-2022-41697, existent dans la fonctionnalité d'abonnement à la newsletter de Ghost Foundation Ghost 5.9.4.
Les utilisateurs externes peuvent exploiter les vulnérabilités pour créer de nouvelles lettres d'information ou modifier des lettres existantes. Des acteurs externes peuvent également créer des bulletins d'information ou modifier des bulletins existants en y injectant du JavaScript malveillant.
La vulnérabilité de contournement d'authentification, suivie sous les noms de CVE-2022-41654 (score CVSS : 9,6) et CVE-2022-41697, permet à des utilisateurs non privilégiés d'apporter des modifications non autorisées aux paramètres de la newsletter.
Pour CVE-2022-41654, il permet aux membres (utilisateurs non privilégiés) de modifier les paramètres de la newsletter sur les sites où les membres sont activés par défaut. Cela permet aux utilisateurs non privilégiés de voir et de modifier des paramètres auxquels ils n'étaient pas censés avoir accès. Ils sont incapables d'élever leurs privilèges de façon permanente ou d'accéder à des informations supplémentaires. Ce problème a été causé par une faille dans la validation de l'API des objets imbriqués.
Un autre problème découlant de la même faille est la possibilité d'injecter du JavaScript dans la newsletter, ce que Ghost autorise par défaut, en supposant que seuls les administrateurs ont accès à cette puissante fonction. Cela a été révélé lorsque l'équipe Talos de Cisco a exploité cette faille pour injecter un objet XSS (cross-site scripting) dans le système, qui a été déclenché lorsque l'administrateur a tenté de modifier la newsletter par défaut.
CVE-2022-41697, quant à lui, permet à une requête HTTP spécialement rédigée de conduire à une augmentation des privilèges. Un attaquant peut exploiter cette vulnérabilité en envoyant une requête HTTP. L'utilisation d'une entrée inconnue entraîne une vulnérabilité de contrôle d'accès. CWE-284 résulte de l'utilisation de CWE pour déclarer le problème. Le logiciel ne restreint pas ou restreint incorrectement l'accès d'un acteur non autorisé à une ressource. La confidentialité, l'intégrité et la disponibilité sont mises en péril.
Ghost a corrigé les deux vulnérabilités dans la version la plus récente du CMS.
Les sources de cet article comprennent un article de BleepingComputer.