{"id":523986,"date":"2022-12-22T18:55:31","date_gmt":"2022-12-22T20:55:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/deux-nouvelles-failles-de-securite-signalees-dans-le-logiciel-de-blog-ghost-cms\/"},"modified":"2022-12-22T18:55:32","modified_gmt":"2022-12-22T20:55:32","slug":"deux-nouvelles-failles-de-securite-signalees-dans-le-logiciel-de-blog-ghost-cms","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/deux-nouvelles-failles-de-securite-signalees-dans-le-logiciel-de-blog-ghost-cms\/","title":{"rendered":"Deux nouvelles failles de s\u00e9curit\u00e9 signal\u00e9es dans le logiciel de blog Ghost CMS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 \/ Vuln\u00e9rabilit\u00e9 du site Web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9taill\u00e9 deux failles de s\u00e9curit\u00e9 dans la plateforme de blogs bas\u00e9e sur JavaScript connue sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/ghost.org\/explore\/\" target=\"_blank\">Fant\u00f4me<\/a>dont l&#8217;un pourrait \u00eatre utilis\u00e9 \u00e0 mauvais escient pour \u00e9lever les privil\u00e8ges via des requ\u00eates HTTP sp\u00e9cialement con\u00e7ues.<\/p>\n<p>Suivie comme CVE-2022-41654 (score CVSS\u00a0: 8,5), la vuln\u00e9rabilit\u00e9 de contournement d&#8217;authentification permet aux utilisateurs non privil\u00e9gi\u00e9s (c&#8217;est-\u00e0-dire les membres) d&#8217;apporter des modifications non autoris\u00e9es aux param\u00e8tres de la newsletter.<\/p>\n<p>Cisco Talos, qui <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/vulnerability-spotlight-authentication-bypass-and-enumeration-vulnerabilities-in-ghost-cms\/\" target=\"_blank\">d\u00e9couvert<\/a> la lacune, a d\u00e9clar\u00e9 qu&#8217;elle pourrait permettre \u00e0 un membre de modifier la newsletter par d\u00e9faut \u00e0 l&#8217;\u00e9chelle du syst\u00e8me \u00e0 laquelle tous les utilisateurs sont abonn\u00e9s par d\u00e9faut.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670949871_285_De-graves-attaques-auraient-pu-etre-mises-en-scene-via.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Cela donne aux utilisateurs non privil\u00e9gi\u00e9s la possibilit\u00e9 d&#8217;afficher et de modifier les param\u00e8tres auxquels ils ne sont pas cens\u00e9s avoir acc\u00e8s&#8221;, Ghost <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/TryGhost\/Ghost\/security\/advisories\/GHSA-9gh8-wp53-ccc6\" target=\"_blank\">c&#8217;est not\u00e9<\/a> dans un avis publi\u00e9 le 28 novembre 2022. &#8220;Ils ne sont pas en mesure d&#8217;augmenter leurs privil\u00e8ges de fa\u00e7on permanente ou d&#8217;acc\u00e9der \u00e0 des informations suppl\u00e9mentaires.&#8221;<\/p>\n<p>La plate-forme CMS a bl\u00e2m\u00e9 le bogue en raison d&#8217;une &#8220;lacune&#8221; dans sa validation d&#8217;API, ajoutant qu&#8217;elle n&#8217;a trouv\u00e9 aucune preuve que le probl\u00e8me a \u00e9t\u00e9 exploit\u00e9 dans la nature.<\/p>\n<p>Ghost a \u00e9galement corrig\u00e9 une vuln\u00e9rabilit\u00e9 d&#8217;\u00e9num\u00e9ration dans la fonctionnalit\u00e9 de connexion (CVE-2022-41697, score CVSS\u00a0: 5,3) qui pourrait conduire \u00e0 la divulgation d&#8217;informations sensibles.<\/p>\n<p>Selon Talos, cette faille pourrait \u00eatre exploit\u00e9e par un attaquant pour \u00e9num\u00e9rer tous les utilisateurs valides de Ghost en fournissant une adresse e-mail, qui pourrait ensuite \u00eatre utilis\u00e9e pour r\u00e9duire les cibles potentielles d&#8217;une attaque de phishing de la prochaine \u00e9tape.<\/p>\n<p>Les failles ont \u00e9t\u00e9 corrig\u00e9es dans le service d&#8217;h\u00e9bergement g\u00e9r\u00e9 Ghost (Pro), mais les utilisateurs qui h\u00e9bergent eux-m\u00eames le service et ex\u00e9cutent une version entre 4.46.0 et 4.48.7 ou toute version de v5 jusqu&#8217;\u00e0 5.22.6 inclus sont tenus de mise \u00e0 jour vers les versions 4.48.8 et 5.22.7.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/two-new-security-flaws-reported-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 d\u00e9cembre 2022\ue804Ravie LakshmananS\u00e9curit\u00e9 \/ Vuln\u00e9rabilit\u00e9 du site Web Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9taill\u00e9 deux failles de s\u00e9curit\u00e9 dans la plateforme de blogs bas\u00e9e sur JavaScript connue sous le nom de Fant\u00f4medont l&#8217;un pourrait \u00eatre utilis\u00e9 \u00e0 mauvais escient pour \u00e9lever les privil\u00e8ges via des requ\u00eates HTTP sp\u00e9cialement con\u00e7ues. Suivie comme CVE-2022-41654 (score CVSS\u00a0: [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":523987,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5803,71986,4168,4158,4165,4161,429,245,4806,11797,4157,4159,4171,4170,6816,4167,4160,120,4163,4162,1835,4172,4169,10614,4166,4164],"class_list":["post-523986","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-blog","tag-cms","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-deux","tag-failles","tag-ghost","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite","tag-securite-informatique","tag-securite-internet","tag-signalees","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/523986","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=523986"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/523986\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/523987"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=523986"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=523986"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=523986"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}