I ricercatori di Cisco Talos hanno recentemente scoperto una vulnerabilità critica in Ghost CMS, un popolare sistema di gestione dei contenuti open source e di iscrizione alla newsletter, designato come CVE-2022-41654. La vulnerabilità ha il potenziale per consentire agli utenti esterni (Iscritti alla Newsletter) per creare newsletter e aggiungere codice JavaScript dannoso a quelle esistenti.
Cos'è Ghost CMS?
Ghost è un sistema di gestione dei contenuti open source (CMS) progettato per i blogger professionisti, pubblicazioni, e le imprese online. È scritto in JavaScript ed è progettato per essere semplice da usare, con un'interfaccia di amministrazione e un sistema di modelli facili da navigare. Ghost è disponibile gratuitamente e come progetto open source, ed è utilizzato da migliaia di siti Web e applicazioni. Il CMS fornisce anche un sistema di iscrizione alla newsletter.
CVE-2022-41654 nel CMS fantasma: Quello che è stato conosciuto finora?
CVE-2022-41654 è un vulnerabilità di bypass dell'autenticazione che esiste nella funzionalità di iscrizione alla newsletter della versione Ghost di Ghost Foundation 5.9.4. Una richiesta HTTP appositamente predisposta può portare a maggiori privilegi, e come risultato, un utente malintenzionato potrebbe inviare una richiesta HTTP per attivare la vulnerabilità, Cisco Talos ha detto.
I ricercatori di Cisco Talos hanno scoperto che un'API esposta con un'inclusione errata dell'estensione “notiziario” relazione potrebbe dare agli abbonati l'accesso alla funzionalità, consentendo loro così di creare newsletter o modificare quelle esistenti.
Gli account di abbonamento (membri) sono completamente separati dagli account utente utilizzati per gestire il contenuto del sito e non hanno ulteriori accessi al sito al di fuori di un utente completamente non autenticato, i ricercatori hanno detto. Inoltre, gli account dei membri non richiedono alcun tipo di azione amministrativa o approvazione per essere creati, con i membri autorizzati solo ad aggiornare il proprio indirizzo e-mail, nome e iscrizione alla newsletter.
“L'endpoint API /members/api/member/ è esposto per consentire all'utente di recuperare/aggiornare questi campi, ma un'errata inclusione della relazione con la newsletter consente a un membro l'accesso completo per creare e modificare le newsletter, inclusa la newsletter predefinita a livello di sistema a cui tutti i membri sono iscritti per impostazione predefinita,” il rapporto osserva.
L'altro, problema più serio derivante dalla vulnerabilità CVE-2022-41654 è il fatto che, di progettazione, Ghost CMS consente di inserire Javascript nel contenuto del sito. Più probabilmente, questo è possibile perché l'intenzione originale è solo per gli utenti fidati di iniettare JavaScript.
Tuttavia, in quanto vi è almeno un campo in una newsletter, questo modello permissivo può essere sfruttato per creare un XSS memorizzato nell'oggetto newsletter. “Poiché questo è un XSS memorizzato più tradizionale, è necessario un utente con i privilegi corretti per modificare la newsletter predefinita per attivare la creazione dell'account,” i ricercatori aggiunto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: