Cisco Talos-onderzoekers ontdekten onlangs een kritieke kwetsbaarheid in Ghost CMS, een populair open source content management en abonnementssysteem voor nieuwsbrieven, aangeduid als CVE-2022-41654. De kwetsbaarheid heeft de potentie om externe gebruikers toe te laten (abonnees van de nieuwsbrief) om nieuwsbrieven te maken en kwaadaardige JavaScript-code toe te voegen aan bestaande.
Wat is Ghost-CMS?
Ghost is een open source Content Management Systeem (CMS) ontworpen voor professionele bloggers, publicaties, en online bedrijven. Het is geschreven in JavaScript en is ontworpen om eenvoudig te gebruiken, met een gemakkelijk te navigeren beheerinterface en sjabloonsysteem. Ghost is gratis en als open source-project beschikbaar, en wordt gebruikt door duizenden websites en applicaties. Het CMS biedt ook een abonnementssysteem voor de nieuwsbrief.
CVE-2022-41654 in Ghost CMS: Wat is er tot nu toe bekend?
CVE-2022-41654 is een kwetsbaarheid omzeilen authenticatie die bestaat in de nieuwsbriefabonnementsfunctionaliteit van de Ghost Foundation Ghost-versie 5.9.4. Een speciaal vervaardigd HTTP-verzoek kan leiden tot verhoogde rechten, en als een resultaat, een aanvaller kan een HTTP-verzoek verzenden om het beveiligingslek te activeren, Zei Cisco Talos.
Cisco Talos-onderzoekers ontdekten dat een blootgestelde API met een onjuiste opname van de “nieuwsbrief” relatie zou abonnees toegang kunnen geven tot de functionaliteit, waardoor ze nieuwsbrieven kunnen maken of bestaande nieuwsbrieven kunnen wijzigen.
De abonnementsrekeningen (leden) zijn volledig gescheiden van de gebruikersaccounts die worden gebruikt om de inhoud van de site te beheren en hebben geen verdere toegang tot de site buiten een volledig niet-geverifieerde gebruiker, aldus de onderzoekers. Bovendien, ledenaccounts vereisen geen enkele vorm van administratieve actie of goedkeuring om te maken, waarbij leden alleen hun e-mailadres mogen bijwerken, naam en abonnement op de nieuwsbrief.
“Het /members/api/member/ API-eindpunt wordt weergegeven zodat de gebruiker deze velden kan ophalen/bijwerken, maar een onjuiste opname van de nieuwsbriefrelatie geeft een lid volledige toegang om nieuwsbrieven te maken en te wijzigen, inclusief de systeembrede standaardnieuwsbrief waarop alle leden standaard zijn geabonneerd,” het verslag wordt opgemerkt.
De andere, een ernstiger probleem als gevolg van de kwetsbaarheid CVE-2022-41654 is het feit dat, met opzet, Met Ghost CMS kan Javascript in de inhoud van de site worden geïnjecteerd. Hoogstwaarschijnlijk, dit is mogelijk omdat het oorspronkelijk de bedoeling is dat vertrouwde gebruikers alleen JavaScript injecteren.
Echter, aangezien er minstens één veld in een nieuwsbrief is, dit permissieve model kan worden gebruikt om een opgeslagen XSS in het nieuwsbriefobject te maken. “Omdat dit meer traditioneel opgeslagen XSS is, een gebruiker met de juiste rechten is vereist om de standaardnieuwsbrief te bewerken om het aanmaken van een account te activeren,” de onderzoekers toegevoegd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: