Forscher von Cisco Talos haben kürzlich eine kritische Schwachstelle in Ghost CMS entdeckt, ein beliebtes Open-Source-Content-Management- und Newsletter-Abonnementsystem, bezeichnet als CVE-2022-41654. Die Schwachstelle hat das Potenzial, externe Benutzer zuzulassen (Newsletter-Abonnenten) um Newsletter zu erstellen und bösartigen JavaScript-Code zu bestehenden hinzuzufügen.
Was ist Ghost-CMS?
Ghost ist ein Open-Source-Content-Management-System (CMS) für professionelle Blogger entwickelt, Publikationen, und Online-Geschäfte. Es ist in JavaScript geschrieben und soll einfach zu bedienen sein, mit einer einfach zu navigierenden Verwaltungsoberfläche und einem Vorlagensystem. Ghost ist kostenlos und als Open-Source-Projekt verfügbar, und wird von Tausenden von Websites und Anwendungen verwendet. Das CMS bietet auch ein Newsletter-Abonnementsystem.
CVE-2022-41654 im Ghost-CMS: Was bisher bekannt ist?
CVE-2022-41654 ist ein Authentifizierungs-Bypass-Schwachstelle die in der Newsletter-Abonnementfunktion der Ghost-Version von Ghost Foundation vorhanden ist 5.9.4. Eine speziell gestaltete HTTP-Anforderung kann zu erweiterten Berechtigungen führen, und als Ergebnis, Ein Angreifer könnte eine HTTP-Anforderung senden, um die Schwachstelle auszulösen, Cisco Talos sagte.
Forscher von Cisco Talos haben herausgefunden, dass eine exponierte API mit einer falschen Einbeziehung des “Rundschreiben” Beziehung könnte Abonnenten Zugriff auf die Funktionalität geben, Dadurch können sie Newsletter erstellen oder bestehende ändern.
Die Abonnementkonten (Mitglieder) sind vollständig von den Benutzerkonten getrennt, die zum Verwalten des Inhalts der Website verwendet werden, und haben keinen weiteren Zugriff auf die Website außerhalb eines vollständig nicht authentifizierten Benutzers, sagten die Forscher. Weiter, Mitgliedskonten erfordern keinerlei administrative Maßnahmen oder Genehmigungen zur Erstellung, wobei Mitglieder nur ihre E-Mail-Adresse aktualisieren dürfen, Name und Newsletter-Abonnement.
“Der API-Endpunkt /members/api/member/ wird bereitgestellt, damit der Benutzer diese Felder abrufen/aktualisieren kann, aber eine fehlerhafte Einbeziehung der Newsletter-Beziehung ermöglicht einem Mitglied den vollen Zugriff, um Newsletter zu erstellen und zu ändern, einschließlich des systemweiten Standard-Newsletters, den alle Mitglieder standardmäßig abonnieren,” Der Bericht stellte fest.
Das andere, Ein schwerwiegenderes Problem, das sich aus der Schwachstelle CVE-2022-41654 ergibt, ist die Tatsache, dass, von Entwurf, Ghost CMS ermöglicht das Einfügen von Javascript in den Inhalt der Website. Sehr wahrscheinlich, Dies ist möglich, da die ursprüngliche Absicht darin besteht, dass nur vertrauenswürdige Benutzer JavaScript einfügen.
Jedoch, da es in einem Newsletter mindestens ein Feld gibt, Dieses zulässige Modell kann genutzt werden, um ein gespeichertes XSS im Newsletter-Objekt zu erstellen. “Da dies eher traditionell gespeichertes XSS ist, Ein Benutzer mit den richtigen Berechtigungen muss den Standard-Newsletter bearbeiten, um die Kontoerstellung auszulösen,” die Forscher hinzugefügt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: