Los investigadores de ciberseguridad han detallado dos fallas de seguridad en la plataforma de blogs basada en JavaScript conocida como Fantasmauno de los cuales podría abusarse para elevar los privilegios a través de solicitudes HTTP especialmente diseñadas.
Rastreada como CVE-2022-41654 (puntaje CVSS: 8.5), la vulnerabilidad de omisión de autenticación que permite a los usuarios sin privilegios (es decir, miembros) realizar modificaciones no autorizadas en la configuración del boletín.
Cisco Talos, que descubierto la deficiencia, dijo que podría permitir a un miembro cambiar el boletín informativo predeterminado de todo el sistema al que todos los usuarios están suscritos de forma predeterminada.
“Esto brinda a los usuarios sin privilegios la capacidad de ver y cambiar configuraciones a las que no debían tener acceso”, Ghost anotado en un aviso publicado el 28 de noviembre de 2022. “No pueden escalar sus privilegios de forma permanente ni obtener acceso a más información”.
La plataforma CMS culpó al error debido a una “brecha” en la validación de su API, y agregó que no encontró evidencia de que el problema haya sido explotado en la naturaleza.
Ghost también parchó una vulnerabilidad de enumeración en la funcionalidad de inicio de sesión (CVE-2022-41697, puntaje CVSS: 5.3) que podría conducir a la divulgación de información confidencial.
Según Talos, un atacante podría aprovechar esta falla para enumerar a todos los usuarios válidos de Ghost proporcionando una dirección de correo electrónico, que luego podría usarse para reducir los objetivos potenciales para un ataque de phishing en la próxima etapa.
Las fallas se han solucionado en el servicio de alojamiento administrado Ghost (Pro), pero los usuarios que alojan el servicio y ejecutan una versión entre 4.46.0 y 4.48.7 o cualquier versión de v5 hasta 5.22.6 inclusive deben actualización a las versiones 4.48.8 y 5.22.7.
About the Author
