Cisco Talos-forskere opdagede for nylig en kritisk sårbarhed i Ghost CMS, et populært open source-indholdsstyring og abonnementssystem til nyhedsbreve, udpeget som CVE-2022-41654. Sårbarheden har potentiale til at tillade eksterne brugere (nyhedsbrev abonnenter) at oprette nyhedsbreve og tilføje ondsindet JavaScript-kode til eksisterende.
Hvad er Ghost CMS?
Ghost er et open source Content Management System (CMS) designet til professionelle bloggere, publikationer, og online-virksomheder. Det er skrevet i JavaScript og er designet til at være nemt at bruge, med en nem at navigere admin grænseflade og skabelonsystem. Ghost er tilgængelig gratis og som et open source-projekt, og bruges af tusindvis af websteder og applikationer. CMS'et tilbyder også et nyhedsbrevsabonnementssystem.
CVE-2022-41654 i Ghost CMS: Hvad har været kendt indtil videre?
CVE-2022-41654 er en autentificering omgå sårbarhed som findes i nyhedsbrevsabonnementsfunktionaliteten i Ghost Foundation Ghost-versionen 5.9.4. En specielt udformet HTTP-anmodning kan føre til øgede privilegier, og som et resultat, en angriber kunne sende en HTTP-anmodning for at udløse sårbarheden, Sagde Cisco Talos.
Cisco Talos-forskere afslørede, at en blotlagt API med en forkert inklusion af “nyhedsbrev” forhold kunne give abonnenter adgang til funktionaliteten, således at de kan oprette nyhedsbreve eller ændre eksisterende.
Abonnementskonti (medlemmer) er fuldstændig adskilt fra de brugerkonti, der bruges til at administrere indholdet på webstedet og har ingen yderligere webstedsadgang uden for en fuldstændig uautoriseret bruger, forskerne sagde. Endvidere, medlemskonti kræver ikke nogen form for administrativ handling eller godkendelse for at oprette, med medlemmer kun tilladt at opdatere deres e-mailadresse, navn og nyhedsbrevsabonnement.
“/members/api/member/ API-slutpunktet er eksponeret for at give brugeren mulighed for at hente/opdatere disse felter, men en forkert medtagelse af nyhedsbrevsforholdet giver et medlem fuld adgang til at oprette og ændre nyhedsbreve, inklusive det systemdækkende standardnyhedsbrev, som alle medlemmer er tilmeldt som standard,” rapporten bemærkede.
Den anden, mere alvorligt problem, der stammer fra CVE-2022-41654-sårbarheden, er det faktum, at, af design, Ghost CMS tillader Javascript at blive injiceret i indholdet af webstedet. Mest sandsynligt, dette er muligt, fordi den oprindelige hensigt er, at betroede brugere kun skal injicere JavaScript.
Men, da der er mindst ét felt i et nyhedsbrev, denne tilladelige model kan udnyttes til at skabe en lagret XSS i nyhedsbrevsobjektet. “Da dette er mere traditionelt lagret XSS, en bruger med de korrekte rettigheder er forpligtet til at redigere standardnyhedsbrevet for at udløse kontooprettelse,” forskerne tilføjet.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: