PT-2021-22447 · Ghost · Ghost
Aden Yap Chuen Zhen
+1
·
Publicado
2021-07-22
·
Atualizado
2024-03-06
·
CVE-2021-39192
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Ghost 4.0.0 a 4.9.4
Descrição
Um erro na implementação do serviço de limites permite que todos os usuários autenticados, incluindo colaboradores, visualizem chaves de API de nível administrativo por meio do “ponto de extremidade da API de integrações”, levando a um problema de escalonamento de privilégios. Isso permite o acesso não autorizado a informações confidenciais. É altamente recomendável regenerar todas as chaves de API após a aplicação do patch ou da solução alternativa.
Recomendações
Para as versões 4.0.0 a 4.9.4 do Ghost, atualize para a versão 4.10.0 o mais rápido possível.
Como solução alternativa temporária, considere desativar todas as contas que não sejam de administrador para impedir o acesso à API.
Após aplicar o patch ou a solução alternativa, gere novamente todas as chaves de API para garantir a segurança.
Correção
Improper Privilege Management
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ghost