Cisco Talos-forskere opdagede for nylig en kritisk sårbarhed i Ghost CMS, et populært open source-indholdsstyring og abonnementssystem til nyhedsbreve, udpeget som CVE-2022-41654. Sårbarheden har potentiale til at tillade eksterne brugere (nyhedsbrev abonnenter) at oprette nyhedsbreve og tilføje ondsindet JavaScript-kode til eksisterende.
Hvad er Ghost CMS?
Ghost er et open source Content Management System (CMS) designet til professionelle bloggere, publikationer, og online-virksomheder. Det er skrevet i JavaScript og er designet til at være nemt at bruge, med en nem at navigere admin grænseflade og skabelonsystem. Ghost er tilgængelig gratis og som et open source-projekt, og bruges af tusindvis af websteder og applikationer. CMS'et tilbyder også et nyhedsbrevsabonnementssystem.
CVE-2022-41654 i Ghost CMS: Hvad har været kendt indtil videre?
CVE-2022-41654 er en autentificering omgå sårbarhed som findes i nyhedsbrevsabonnementsfunktionaliteten i Ghost Foundation Ghost-versionen 5.9.4. En specielt udformet HTTP-anmodning kan føre til øgede privilegier, og som et resultat, en angriber kunne sende en HTTP-anmodning for at udløse sårbarheden, Sagde Cisco Talos.
Cisco Talos-forskere afslørede, at en blotlagt API med en forkert inklusion af “nyhedsbrev” forhold kunne give abonnenter adgang til funktionaliteten, således at de kan oprette nyhedsbreve eller ændre eksisterende.
Abonnementskonti (medlemmer) er fuldstændig adskilt fra de brugerkonti, der bruges til at administrere indholdet på webstedet og har ingen yderligere webstedsadgang uden for en fuldstændig uautoriseret bruger, forskerne sagde. Endvidere, medlemskonti kræver ikke nogen form for administrativ handling eller godkendelse for at oprette, med medlemmer kun tilladt at opdatere deres e-mailadresse, navn og nyhedsbrevsabonnement.
“/members/api/member/ API-slutpunktet er eksponeret for at give brugeren mulighed for at hente/opdatere disse felter, men en forkert medtagelse af nyhedsbrevsforholdet giver et medlem fuld adgang til at oprette og ændre nyhedsbreve, inklusive det systemdækkende standardnyhedsbrev, som alle medlemmer er tilmeldt som standard,” rapporten bemærkede.
Den anden, mere alvorligt problem, der stammer fra CVE-2022-41654-sårbarheden, er det faktum, at, af design, Ghost CMS tillader Javascript at blive injiceret i indholdet af webstedet. Mest sandsynligt, dette er muligt, fordi den oprindelige hensigt er, at betroede brugere kun skal injicere JavaScript.
Men, da der er mindst ét felt i et nyhedsbrev, denne tilladelige model kan udnyttes til at skabe en lagret XSS i nyhedsbrevsobjektet. “Da dette er mere traditionelt lagret XSS, en bruger med de korrekte rettigheder er forpligtet til at redigere standardnyhedsbrevet for at udløse kontooprettelse,” forskerne tilføjet.