Cybersecurity-Forscher haben zwei Sicherheitslücken in der JavaScript-basierten Blogging-Plattform Ghost aufgedeckt, von denen eine dazu missbraucht werden kann, die Privilegien über speziell gestaltete HTTP-Anfragen zu erhöhen.
Die Sicherheitslücke mit der Bezeichnung CVE-2022-41654 (CVSS-Score: 8.5) ermöglicht es unberechtigten Nutzern (d.h. Mitgliedern), unbefugte Änderungen an den Newsletter-Einstellungen vorzunehmen.
Laut Cisco Talos, das die Schwachstelle entdeckt hat, kann ein Mitglied den systemweiten Standard-Newsletter ändern, den alle Benutzer/innen standardmäßig abonniert haben.
„Dadurch können unberechtigte Benutzer Einstellungen einsehen und ändern, auf die sie eigentlich keinen Zugriff haben sollten“, so Ghost in einem am 28. November 2022 veröffentlichten Advisory. „Sie sind nicht in der Lage, ihre Privilegien dauerhaft zu erweitern oder Zugang zu weiteren Informationen zu erhalten.“
Die CMS-Plattform machte eine „Lücke“ in der API-Validierung für den Fehler verantwortlich und fügte hinzu, dass es keine Beweise dafür gibt, dass das Problem in freier Wildbahn ausgenutzt wurde.
Ghost hat außerdem eine Enumeration-Schwachstelle in der Login-Funktionalität (CVE-2022-41697, CVSS-Score: 5.3) gepatcht, die zur Offenlegung sensibler Informationen führen könnte.
Laut Talos könnte diese Schwachstelle von einem Angreifer ausgenutzt werden, um alle gültigen Ghost-Benutzer zu ermitteln, indem er eine E-Mail-Adresse angibt, die dann verwendet werden könnte, um potenzielle Ziele für einen Phishing-Angriff einzugrenzen.
Die Schwachstellen wurden im Managed Hosting Service Ghost (Pro) behoben. Nutzer, die den Service selbst hosten und eine Version zwischen 4.46.0 und 4.48.7 oder eine Version von v5 bis einschließlich 5.22.6 verwenden, müssen auf die Versionen 4.48.8 und 5.22.7 aktualisieren.