Ghost CMS博客软件中报告的两个新的安全缺陷

网络安全研究人员详细介绍了基于JavaScript的博客平台Ghost中的两个安全漏洞，其中一个漏洞可能被滥用，通过特制的HTTP请求来提升权限。

Ghost是一个开源博客平台，在52600多个实时网站中使用，其中大多数位于美国、英国、德国、中国、法国、加拿大和印度。

追踪为CVE-2022-41654（CVSS评分：9.6），身份验证绕过漏洞允许未经授权的用户（即成员）对时事通讯设置进行未经授权修改。

发现这一缺点的思科Talos表示，它可以让会员更改默认所有用户都订阅的全系统默认时事通讯。

更糟糕的是，网站管理员在默认情况下将JavaScript注入新闻稿的能力可能会被利用，从而在试图编辑新闻稿时触发创建任意管理员帐户。

Ghost在2022年11月28日发布的一份咨询意见中指出：“这让非特权用户能够查看和更改他们原本不想访问的设置”。“他们无法永久升级他们的权限或获取更多信息”。

CMS平台将该漏洞归咎于其API验证中的“漏洞”，并补充称，没有发现任何证据表明该问题已在野外被利用。

Ghost还修补了登录功能（CVE-2022-41697，CVSS评分：5.3）中的枚举漏洞，该漏洞可能导致敏感信息泄露。

根据Talos的说法，攻击者可以利用此漏洞通过提供电子邮件地址来枚举Ghost的所有有效用户，然后可以使用电子邮件地址来缩小下一阶段网络钓鱼攻击的潜在目标。

Ghost（Pro）托管服务已经解决了这些缺陷，但自行托管服务并运行4.46.0和4.48.7之间版本或5.22.6之前的任何版本的v5的用户需要更新到4.48.8和5.22.7版本。

（根据Cisco Talos发布的一份咨询意见，该故事已更新为CVE-2022-41654的CVSS评分。）