{"id":538070,"date":"2022-12-22T12:10:28","date_gmt":"2022-12-22T12:10:28","guid":{"rendered":"https:\/\/teknomers.com\/es\/dos-nuevas-fallas-de-seguridad-reportadas-en-el-software-de-blogs-ghost-cms\/"},"modified":"2022-12-22T12:10:30","modified_gmt":"2022-12-22T12:10:30","slug":"dos-nuevas-fallas-de-seguridad-reportadas-en-el-software-de-blogs-ghost-cms","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/dos-nuevas-fallas-de-seguridad-reportadas-en-el-software-de-blogs-ghost-cms\/","title":{"rendered":"Dos nuevas fallas de seguridad reportadas en el software de blogs Ghost CMS"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 de diciembre de 2022<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad del sitio web\/vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los investigadores de ciberseguridad han detallado dos fallas de seguridad en la plataforma de blogs basada en JavaScript conocida como Fantasma<\/a>uno de los cuales podr\u00eda abusarse para elevar los privilegios a trav\u00e9s de solicitudes HTTP especialmente dise\u00f1adas.<\/p>\n

Rastreada como CVE-2022-41654 (puntaje CVSS: 8.5), la vulnerabilidad de omisi\u00f3n de autenticaci\u00f3n que permite a los usuarios sin privilegios (es decir, miembros) realizar modificaciones no autorizadas en la configuraci\u00f3n del bolet\u00edn.<\/p>\n

Cisco Talos, que descubierto<\/a> la deficiencia, dijo que podr\u00eda permitir a un miembro cambiar el bolet\u00edn informativo predeterminado de todo el sistema al que todos los usuarios est\u00e1n suscritos de forma predeterminada.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Esto brinda a los usuarios sin privilegios la capacidad de ver y cambiar configuraciones a las que no deb\u00edan tener acceso”, Ghost anotado<\/a> en un aviso publicado el 28 de noviembre de 2022. “No pueden escalar sus privilegios de forma permanente ni obtener acceso a m\u00e1s informaci\u00f3n”.<\/p>\n

La plataforma CMS culp\u00f3 al error debido a una “brecha” en la validaci\u00f3n de su API, y agreg\u00f3 que no encontr\u00f3 evidencia de que el problema haya sido explotado en la naturaleza.<\/p>\n

Ghost tambi\u00e9n parch\u00f3 una vulnerabilidad de enumeraci\u00f3n en la funcionalidad de inicio de sesi\u00f3n (CVE-2022-41697, puntaje CVSS: 5.3) que podr\u00eda conducir a la divulgaci\u00f3n de informaci\u00f3n confidencial.<\/p>\n

Seg\u00fan Talos, un atacante podr\u00eda aprovechar esta falla para enumerar a todos los usuarios v\u00e1lidos de Ghost proporcionando una direcci\u00f3n de correo electr\u00f3nico, que luego podr\u00eda usarse para reducir los objetivos potenciales para un ataque de phishing en la pr\u00f3xima etapa.<\/p>\n

Las fallas se han solucionado en el servicio de alojamiento administrado Ghost (Pro), pero los usuarios que alojan el servicio y ejecutan una versi\u00f3n entre 4.46.0 y 4.48.7 o cualquier versi\u00f3n de v5 hasta 5.22.6 inclusive deben actualizaci\u00f3n a las versiones 4.48.8 y 5.22.7.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n