Os pesquisadores do Cisco Talos descobriram recentemente uma vulnerabilidade crítica no Ghost CMS, um popular sistema de gerenciamento de conteúdo de código aberto e assinatura de boletim informativo, designado como CVE-2022-41654. A vulnerabilidade tem o potencial de permitir que usuários externos (assinantes da newsletter) para criar boletins informativos e adicionar código JavaScript malicioso aos já existentes.
O que é Ghost CMS?
Ghost é um sistema de gerenciamento de conteúdo de código aberto (CMS) projetado para blogueiros profissionais, publicações, e negócios online. Ele é escrito em JavaScript e foi projetado para ser simples de usar, com uma interface de administração fácil de navegar e um sistema de modelos. O Ghost está disponível gratuitamente e como um projeto de código aberto, e é usado por milhares de sites e aplicativos. O CMS também fornece um sistema de assinatura de newsletter.
CVE-2022-41654 no Ghost CMS: O que se sabe até agora?
CVE-2022-41654 é um vulnerabilidade de desvio de autenticação que existe na funcionalidade de assinatura de boletim informativo da versão Ghost Foundation Ghost 5.9.4. Uma solicitação HTTP especialmente criada pode levar a privilégios maiores, e como resultado, um invasor pode enviar uma solicitação HTTP para acionar a vulnerabilidade, Cisco Talos disse.
Os pesquisadores do Cisco Talos descobriram que uma API exposta com uma inclusão incorreta do “Boletim de Notícias” relacionamento pode dar aos assinantes acesso à funcionalidade, permitindo-lhes criar newsletters ou alterar as existentes.
As contas de assinatura (membros) são completamente separados das contas de usuário usadas para gerenciar o conteúdo do site e não têm mais acesso ao site fora de um usuário totalmente não autenticado, os pesquisadores disseram. além disso, contas de membros não requerem nenhum tipo de ação administrativa ou aprovação para criar, com membros autorizados apenas a atualizar seu endereço de e-mail, nome e assinatura da newsletter.
“O terminal /members/api/member/ API é exposto para permitir que o usuário recupere/atualize esses campos, mas uma inclusão incorreta do relacionamento do boletim permite que um membro tenha acesso total para criar e modificar boletins, incluindo o boletim informativo padrão de todo o sistema no qual todos os membros são inscritos por padrão,” o relatório observou.
O outro, problema mais sério decorrente da vulnerabilidade CVE-2022-41654 é o fato de que, por design, O Ghost CMS permite que o Javascript seja injetado no conteúdo do site. Provavelmente, isso é possível porque a intenção original é que usuários confiáveis apenas injetem JavaScript.
Contudo, como há pelo menos um campo em um boletim informativo, este modelo permissivo pode ser aproveitado para criar um XSS armazenado no objeto do boletim informativo. “Como este é um XSS armazenado mais tradicional, um usuário com os privilégios corretos é necessário para editar o boletim informativo padrão para acionar a criação da conta,” Os pesquisadores adicionado.