Les chercheurs de Cisco Talos ont récemment découvert une vulnérabilité critique dans Ghost CMS, un système populaire de gestion de contenu et d'abonnement à la newsletter open source, désigné comme CVE-2022-41654. La vulnérabilité a le potentiel de permettre aux utilisateurs externes (abonnés à la newsletter) pour créer des newsletters et ajouter du code JavaScript malveillant à celles existantes.
Qu'est-ce qu'un CMS fantôme?
Ghost est un système de gestion de contenu open source (CMS) conçu pour les blogueurs professionnels, publications, et les entreprises en ligne. Il est écrit en JavaScript et est conçu pour être simple à utiliser, avec une interface d'administration facile à naviguer et un système de modèles. Ghost est disponible gratuitement et en tant que projet open source, et est utilisé par des milliers de sites Web et d'applications. Le CMS fournit également un système d'abonnement à la newsletter.
CVE-2022-41654 dans Ghost CMS: Ce qui a été connu jusqu'à présent?
CVE-2022-41654 est un vulnérabilité de contournement d'authentification qui existe dans la fonctionnalité d'abonnement à la newsletter de la version Ghost de Ghost Foundation 5.9.4. Une requête HTTP spécialement conçue peut conduire à des privilèges accrus, et comme résultat, un attaquant pourrait envoyer une requête HTTP pour déclencher la vulnérabilité, Cisco Talos a déclaré.
Les chercheurs de Cisco Talos ont découvert qu'une API exposée avec une inclusion incorrecte du “bulletin” relation pourrait donner aux abonnés l'accès à la fonctionnalité, leur permettant ainsi de créer des newsletters ou de modifier celles existantes.
Les comptes d'abonnement (membres) sont complètement séparés des comptes d'utilisateurs utilisés pour gérer le contenu du site et n'ont plus accès au site en dehors d'un utilisateur totalement non authentifié, les chercheurs. En outre, les comptes des membres ne nécessitent aucune action administrative ni approbation pour créer, les membres étant uniquement autorisés à mettre à jour leur adresse e-mail, nom et inscription à la newsletter.
“Le point de terminaison de l'API /members/api/member/ est exposé pour permettre à l'utilisateur de récupérer/mettre à jour ces champs, mais une inclusion incorrecte de la relation de newsletter permet à un membre un accès complet pour créer et modifier des newsletters, y compris la newsletter par défaut à l'échelle du système à laquelle tous les membres sont abonnés par défaut,” le rapport note.
L'autre, problème plus grave découlant de la vulnérabilité CVE-2022-41654 est le fait que, intentionnellement, Ghost CMS permet d'injecter du Javascript dans le contenu du site. Le plus probable, cela est possible car l'intention initiale est que les utilisateurs de confiance n'injectent que du JavaScript.
Cependant, car il y a au moins un champ dans une newsletter, ce modèle permissif peut être exploité pour créer un XSS stocké dans l'objet newsletter. “Comme il s'agit d'un XSS stocké plus traditionnel, un utilisateur disposant des privilèges appropriés doit modifier la newsletter par défaut pour déclencher la création du compte,” les chercheurs ajoutée.