**Nome do software vulnerável e versões afetadas:

Versões do Ghost 3.18.0 a 4.15.0

Descrição:

Um erro na implementação da funcionalidade de alteração de e-mail de membros permite que usuários não autenticados alterem o endereço de e-mail de contas de membros arbitrárias, criando uma solicitação para o endpoint da API relevante, como “POST /members/api/send-magic-link/”, e validando o novo endereço por meio de um link mágico enviado para o novo endereço de e-mail.

Recomendações:

Para as versões do Ghost 3.18.0 a 3.42.5, atualize para a versão 3.42.6 o mais rápido possível.

Para as versões do Ghost 4.0.0 a 4.15.0, atualize para a versão 4.15.1 o mais rápido possível.

Como solução temporária, considere bloquear o endpoint POST /members/api/send-magic-link/ para impedir a exploração, embora isso também desative o login e o cadastro de membros no site.