Les chercheurs en cybersécurité ont détaillé deux failles de sécurité dans la plateforme de blogs basée sur JavaScript connue sous le nom de Fantômedont l’un pourrait être utilisé à mauvais escient pour élever les privilèges via des requêtes HTTP spécialement conçues.
Suivie comme CVE-2022-41654 (score CVSS : 8,5), la vulnérabilité de contournement d’authentification permet aux utilisateurs non privilégiés (c’est-à-dire les membres) d’apporter des modifications non autorisées aux paramètres de la newsletter.
Cisco Talos, qui découvert la lacune, a déclaré qu’elle pourrait permettre à un membre de modifier la newsletter par défaut à l’échelle du système à laquelle tous les utilisateurs sont abonnés par défaut.
« Cela donne aux utilisateurs non privilégiés la possibilité d’afficher et de modifier les paramètres auxquels ils ne sont pas censés avoir accès », Ghost c’est noté dans un avis publié le 28 novembre 2022. « Ils ne sont pas en mesure d’augmenter leurs privilèges de façon permanente ou d’accéder à des informations supplémentaires. »
La plate-forme CMS a blâmé le bogue en raison d’une « lacune » dans sa validation d’API, ajoutant qu’elle n’a trouvé aucune preuve que le problème a été exploité dans la nature.
Ghost a également corrigé une vulnérabilité d’énumération dans la fonctionnalité de connexion (CVE-2022-41697, score CVSS : 5,3) qui pourrait conduire à la divulgation d’informations sensibles.
Selon Talos, cette faille pourrait être exploitée par un attaquant pour énumérer tous les utilisateurs valides de Ghost en fournissant une adresse e-mail, qui pourrait ensuite être utilisée pour réduire les cibles potentielles d’une attaque de phishing de la prochaine étape.
Les failles ont été corrigées dans le service d’hébergement géré Ghost (Pro), mais les utilisateurs qui hébergent eux-mêmes le service et exécutent une version entre 4.46.0 et 4.48.7 ou toute version de v5 jusqu’à 5.22.6 inclus sont tenus de mise à jour vers les versions 4.48.8 et 5.22.7.