Los investigadores de Cisco Talos descubrieron recientemente una vulnerabilidad crítica en Ghost CMS, un popular sistema de suscripción a boletines y administración de contenido de código abierto, designado como CVE-2022-41654. La vulnerabilidad tiene el potencial de permitir a los usuarios externos (suscriptores del boletín) para crear boletines y agregar código JavaScript malicioso a los existentes.
¿Qué es Ghost CMS??
Ghost es un sistema de gestión de contenido de código abierto (CMS) diseñado para blogueros profesionales, publicaciones, y negocios en linea. Está escrito en JavaScript y está diseñado para ser fácil de usar., con una interfaz de administración y un sistema de plantillas fáciles de navegar. Ghost está disponible de forma gratuita y como proyecto de código abierto, y es utilizado por miles de sitios web y aplicaciones. El CMS también proporciona un sistema de suscripción a boletines.
CVE-2022-41654 en Ghost CMS: Lo que se ha sabido hasta ahora?
CVE-2022-41654 es un vulnerabilidad de omisión de autenticación que existe en la funcionalidad de suscripción al boletín de la versión Ghost de Ghost Foundation 5.9.4. Una solicitud HTTP especialmente diseñada puede generar mayores privilegios, y como un resultado, un atacante podría enviar una solicitud HTTP para activar la vulnerabilidad, Cisco Talos dijo.
Los investigadores de Cisco Talos descubrieron que una API expuesta con una inclusión incorrecta del “hoja informativa” la relación podría dar a los suscriptores acceso a la funcionalidad, permitiéndoles así crear boletines o modificar los existentes.
Las cuentas de suscripción (los miembros) están completamente separados de las cuentas de usuario utilizadas para administrar el contenido del sitio y no tienen más acceso al sitio fuera de un usuario no autenticado, los investigadores dijeron. Además, las cuentas de miembros no requieren ningún tipo de acción administrativa o aprobación para crear, con miembros que solo pueden actualizar su dirección de correo electrónico, nombre y suscripción al boletín.
“El extremo de la API /members/api/member/ está expuesto para permitir que el usuario recupere/actualice estos campos, pero una inclusión incorrecta de la relación con el boletín le permite a un miembro acceso completo para crear y modificar boletines, incluido el boletín informativo predeterminado de todo el sistema al que todos los miembros están suscritos de forma predeterminada,” el informe señaló.
El otro, problema más grave derivado de la vulnerabilidad CVE-2022-41654 es el hecho de que, por diseño, Ghost CMS permite inyectar Javascript en el contenido del sitio. Más probable, esto es posible porque la intención original es que los usuarios de confianza solo inyecten JavaScript.
Sin embargo, ya que hay al menos un campo en un boletín, este modelo permisivo se puede aprovechar para crear un XSS almacenado en el objeto del boletín. “Como esto es XSS almacenado más tradicional, se requiere un usuario con los privilegios correctos para editar el boletín predeterminado para activar la creación de la cuenta,” los investigadores adicional.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: