Ghost · Ghost · CVE-2021-39192
**Nome do software vulnerável e versões afetadas**
Versões do Ghost 4.0.0 a 4.9.4
**Descrição**
Um erro na implementação do serviço de limites permite que todos os usuários autenticados, incluindo colaboradores, visualizem chaves de API de nível administrativo por meio do “ponto de extremidade da API de integrações”, levando a um problema de escalonamento de privilégios. Isso permite o acesso não autorizado a informações confidenciais. É altamente recomendável regenerar todas as chaves de API após a aplicação do patch ou da solução alternativa.
**Recomendações**
Para as versões 4.0.0 a 4.9.4 do Ghost, atualize para a versão 4.10.0 o mais rápido possível.
Como solução alternativa temporária, considere desativar todas as contas que não sejam de administrador para impedir o acesso à API.
Após aplicar o patch ou a solução alternativa, gere novamente todas as chaves de API para garantir a segurança.