PT-2022-26007 · Ghost Foundation · Ghost
Dave Mcdaniel
·
Publicado
2022-11-28
·
Atualizado
2024-03-06
·
CVE-2022-41654
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 4.46.0 a 4.48.7 do Ghost Foundation
Versões 5.0.0 a 5.22.6 do Ghost Foundation
Versão 5.9.4 do Ghost Foundation
Descrição
Existe uma vulnerabilidade de contorno de autenticação na funcionalidade de assinatura de boletins informativos. Uma solicitação HTTP especialmente criada pode levar ao aumento de privilégios. Esse problema foi causado por uma falha na validação da API para objetos aninhados, permitindo que usuários sem privilégios fizessem alterações nas configurações da newsletter e visualizassem ou alterassem configurações às quais não deveriam ter acesso.
Recomendações
Para as versões 4.46.0 a 4.48.7 do Ghost Foundation Ghost, atualize para a versão 4.48.8 ou posterior.
Para as versões 5.0.0 a 5.22.6 do Ghost Foundation Ghost, atualize para a versão 5.22.7 ou posterior.
Para a versão 5.9.4 do Ghost Foundation Ghost, atualize para uma versão mais recente que contenha uma correção para este problema.
Como solução temporária, considere desativar os membros até que uma atualização possa ser realizada.
Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ghost