在幽靈通訊系統中發現的漏洞

根據思科 Talos 的說法，Ghost 基金會 Ghost 5.9.4 的新聞通訊訂閱功能中存在 Ghost CMS 新聞通訊訂閱系統中的兩個漏洞 CVE-2022-41654 和 CVE-2022-41697。

外部使用者可以利用這些漏洞創建新的新聞稿或修改現有新聞稿。外部參與者還可以通過向新聞通訊注入惡意 JavaScript 來創建時事通訊或修改現有時事通訊。

身份驗證繞過漏洞（跟蹤為 CVE-2022-41654（CVSS 分數：9.6）和 CVE-2022-41697）允許非特權使用者對新聞稿設置進行未經授權的更改。

對於 CVE-2022-41654，它允許成員（非特權使用者）在預設啟用成員的網站上更改新聞稿設置。這允許非特權使用者查看和更改他們不應訪問的設置。他們無法永久提升其許可權或訪問其他資訊。此問題是由嵌套物件 API 驗證中的缺陷引起的。

由同一缺陷引起的另一個問題是能夠將JavaScript注入時事通訊，Ghost默認允許這樣做，假設只有管理員才能訪問這個強大的功能。當思科 Talos 團隊利用此缺陷將 XSS（跨網站腳本）物件注入系統時，就會發現這一點，該物件是在管理員嘗試編輯預設新聞通訊時觸發的。

另一方面，CVE-2022-41697 允許特製的 HTTP 請求導致許可權增加。攻擊者可以通過發送 HTTP 請求來利用此漏洞。使用未知輸入會導致訪問控制漏洞。CWE-284 是使用 CWE 聲明問題的結果。該軟體不會限制或錯誤地限制未經授權的參與者對資源的訪問。機密性、完整性和可用性都受到威脅。

Ghost已經修補了最新版本CMS中的兩個漏洞。

這篇文章的來源包括 BleepingComputer上的一篇文章。

總結

文章名稱

在幽靈通訊系統中發現的漏洞

描述

研究人員在 Ghost CMS 時事通訊訂閱系統中發現了兩個漏洞，CVE-2022-41654 和 CVE-2022-41697。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服護理

發行者徽標