22 décembre 2022Ravie LakshmananSécurité / Vulnérabilité du site Web

Ghostcms

Les chercheurs en cybersécurité ont détaillé deux failles de sécurité dans la plateforme de blogs basée sur JavaScript connue sous le nom de Fantômedont l’un pourrait être utilisé à mauvais escient pour élever les privilèges via des requêtes HTTP spécialement conçues.

Suivie sous le nom de CVE-2022-41654 (score CVSS : 8,5), la vulnérabilité de contournement d’authentification qui permet aux utilisateurs non privilégiés (c’est-à-dire les membres) d’apporter des modifications non autorisées aux paramètres de la newsletter.

Cisco Talos, qui découvert la lacune, a déclaré qu’elle pourrait permettre à un membre de modifier la newsletter par défaut à l’échelle du système à laquelle tous les utilisateurs sont abonnés par défaut.

La Cyber-Sécurité

« Cela donne aux utilisateurs non privilégiés la possibilité d’afficher et de modifier les paramètres auxquels ils ne sont pas censés avoir accès », Ghost c’est noté dans un avis publié le 28 novembre 2022. « Ils ne sont pas en mesure d’augmenter leurs privilèges de façon permanente ou d’accéder à des informations supplémentaires. »

Publicité

La plate-forme CMS a blâmé le bogue en raison d’une « lacune » dans sa validation d’API, ajoutant qu’elle n’a trouvé aucune preuve que le problème a été exploité dans la nature.

Ghost a également corrigé une vulnérabilité d’énumération dans la fonctionnalité de connexion (CVE-2022-41697, score CVSS : 5,3) qui pourrait conduire à la divulgation d’informations sensibles.

Selon Talos, cette faille pourrait être exploitée par un attaquant pour énumérer tous les utilisateurs valides de Ghost en fournissant une adresse e-mail, qui pourrait ensuite être utilisée pour réduire les cibles potentielles d’une attaque de phishing de la prochaine étape.

Les failles ont été corrigées dans le service d’hébergement géré Ghost (Pro), mais les utilisateurs qui hébergent eux-mêmes le service et exécutent une version entre 4.46.0 et 4.48.7 ou toute version de v5 jusqu’à 5.22.6 inclus sont tenus de mise à jour vers les versions 4.48.8 et 5.22.7.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentIntel Core i9-13900K overclocké au record mondial de 9 GHz, le TDP de base de 150 W du modèle KS révélé
Article suivantLe film GameSpot de 2022 : tout, partout, tout à la fois
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici