Ghost CMS bülten abonelik sistemindeki kritik bir güvenlik açığı, harici kullanıcıların haber bültenleri oluşturmasına veya kötü niyetli JavaScript içerecek şekilde mevcut olanları değiştirmesine izin verebilir.
Böyle bir eylem, tehdit aktörlerinin normal zararsız sitelerden büyük ölçekli kimlik avı saldırıları yapmalarına izin verebilir. Ayrıca, JavaScript enjeksiyonunun, tehdit aktörlerinin bir siteye tam erişim kazanmasını sağlayabilecek XSS güvenlik açıklarına izin verdiği gösterilmiştir.
Ghost, WordPress'e daha hızlı ve daha basit bir alternatif olarak kullanılan web siteleri oluşturmak, içerik yayınlamak ve bültenleri göndermek için ücretsiz ve açık kaynaklı bir CMS'dir.
Buildwith'e göre, Ghost yaklaşık 126K web sitesi tarafından kullanılmaktadır, bunların çoğu ABD, İngiltere ve Almanya'da bulunmaktadır.
Cisco Talos ekibi, Ekim 2022'de kimlik doğrulama bypass kusurunu keşfetti, bu da test ettikleri ve etkilendikleri Ghost sürüm 5.9.4. Ancak, muhtemelen daha önce ve sonra daha fazla sürüm etkiler.
Kusur, CVE-2022-41654 olarak izlenir ve 9.6 CVSS V3 şiddet skoruna sahiptir ve kritik derecelendirir.
Bülten aboneleri (üyeler), sitede özel ayrıcalıkları olmayan harici kullanıcılardır, bu nedenle yalnızca bir e -posta adresi sağlamaları ve yönetici onayı olmadan üye olmaları gerekir.
Bununla birlikte, Cisco Talos, "bülten" ilişkisinin yanlış bir şekilde dahil edilmesine sahip açıkta kalan bir API'nın abonelere bu alt sisteme erişim sağlayabileceğini ve bültenleri değiştirmelerine veya oluşturmalarına izin verebileceğini keşfetti.
Bu, tüm üyelerin varsayılan olarak abone olduğu sistem çapında varsayılan haber bülteni içerir ve saldırganlara tüm abonelere istedikleri içeriği gönderme gücü verir.
Aynı kusurdan kaynaklanan ikinci bir sorun, JavaScript'i bültene enjekte etme yeteneğidir, bu da Ghost'un varsayılan olarak izin verdiği, yalnızca yöneticilerin bu güçlü işleve erişebileceğini varsayar.
Örneğin, Cisco Talos ekibi, yönetici varsayılan haber bültenini düzenlemeye çalıştığında tetiklenen bir yönetici hesabı oluşturmak için bir XSS (siteler arası komut dosyası) nesnesi enjekte etmek için bu kusurdan yararlandı.
Yukarıdaki kusurun yanı sıra, Talos araştırmacıları ayrıca, bir saldırganın sitedeki bir kullanıcıyla bir e-posta adresinin ilişkili olup olmadığını doğrulamasına izin veren, hayaletin giriş işlevselliğinde orta şiddetli bir kullanıcı numaralandırma güvenlik açığı olan CVE-2022-41697'yi de keşfetti.
İki güvenlik açığı, CMS'nin en son sürümünde Ghost tarafından ele alınmıştır, bu nedenle Ghost üzerine inşa edilmiş tüm web sitelerinin tüm yöneticileri mevcut güvenlik güncellemesini mümkün olan en kısa sürede uygulamak önerilir.
Hackerlar, 50K yüklemelerle WordPress hediye kartı eklentisinde kullanıcıdan istismar
144.000 kimlik avı paketiyle sular altında açık kaynaklı depolar
Trojanorder saldırılarının büyük dalgalanmasını hedefleyen magento mağazaları
Marka Taklit Programında kullanıcıları tuzağa düşürmek için kullanılan 42.000 site
Microsoft, kötü amaçlı yazılımları itmek için Windows Zero-Day hatasını çözer
Kaynak: Bleeping Computer