Siber güvenlik araştırmacıları, Ghost olarak bilinen JavaScript tabanlı blog platformundaki iki güvenlik açığını ayrıntılı olarak açıkladı ve bunlardan biri, özel hazırlanmış HTTP istekleri yoluyla ayrıcalıkları yükseltmek için kötüye kullanılabilir.
CVE-2022-41654 (CVSS puanı: 8.5) olarak izlenen, ayrıcalığı olmayan kullanıcıların (yani üyelerin) haber bülteni ayarlarında yetkisiz değişiklikler yapmasına izin veren kimlik doğrulama atlama güvenlik açığı.
Eksikliği keşfeden Cisco Talos, bunun bir üyenin tüm kullanıcıların varsayılan olarak abone olduğu sistem genelindeki varsayılan haber bültenini değiştirmesine olanak sağlayabileceğini söyledi.
Ghost, 28 Kasım 2022’de yayınlanan bir danışma belgesinde “Bu, ayrıcalıksız kullanıcılara erişmeleri amaçlanmayan ayarları görüntüleme ve değiştirme yeteneği veriyor.” “Ayrıcalıklarını kalıcı olarak yükseltemezler veya daha fazla bilgiye erişemezler.” .”
CMS platformu, API doğrulamasındaki bir “boşluk” nedeniyle hatayı suçladı ve sorunun vahşi ortamda istismar edildiğine dair hiçbir kanıt bulamadığını da sözlerine ekledi.
Ayrıca oturum açma işlevinde (CVE-2022-41697, CVSS puanı: 5.3) hassas bilgilerin ifşa edilmesine yol açabilecek bir numaralandırma güvenlik açığı Ghost tarafından yamalanmıştır.
Per Talos’a göre bu kusur, bir saldırgan tarafından bir e-posta adresi sağlayarak Ghost’un tüm geçerli kullanıcılarını listelemek için kullanılabilir ve bu daha sonra bir sonraki aşama kimlik avı saldırısı için potansiyel hedefleri daraltmak için kullanılabilir.
Ghost (Pro) tarafından yönetilen barındırma hizmetindeki kusurlar giderildi, ancak hizmeti kendi kendine barındıran ve 4.46.0 ile 4.48.7 arasındaki bir sürümü veya 5.22.6 dahil olmak üzere v5’in herhangi bir sürümünü çalıştıran kullanıcıların 4.48.8 ve 5.22.7 sürümlerine güncelleyin.