Ghost — это система управления контентом Node.js. В версиях с 5.105.0 по 5.130.5 и с 6.0.0 по 6.10.3 уязвимость в механизме 2FA Ghost позволяет сотрудникам пропускать 2FA по электронной почте. Эта проблема исправлена в версиях 5.130.6 и 6.11.0.
Показать оригинальное описание (EN)
Ghost is a Node.js content management system. In versions 5.105.0 through 5.130.5 and 6.0.0 through 6.10.3, a vulnerability in Ghost's 2FA mechanism allows staff users to skip email 2FA. This issue has been patched in versions 5.130.6 and 6.11.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ghost Ghost
cpe:2.3:a:ghost:ghost:*:*:*:*:*:node.js:*:*
|
5.105.0
|
5.130.6
|
|
Ghost Ghost
cpe:2.3:a:ghost:ghost:*:*:*:*:*:node.js:*:*
|
6.0.0
|
6.11.0
|
Ссылки 3
https://github.com/TryGhost/Ghost/commit/b59f707f670e6f175b669977724ccf16c71843…
security-advisories@github.com
https://github.com/TryGhost/Ghost/commit/fc7bc2fb0888513498154ec5cb4b21eccb88de…
security-advisories@github.com
https://github.com/TryGhost/Ghost/security/advisories/GHSA-5fp7-g646-ccf4
security-advisories@github.com