Ghost — это система управления контентом Node.js. В версиях с 5.121.0 по 5.130.5 и с 6.0.0 по 6.10.3 уязвимость в обработке Ghost аутентификации токена персонала позволяла получить доступ к определенным конечным точкам, которые должны были быть доступны только через аутентификацию сеанса персонала. Внешние системы, прошедшие аутентификацию с помощью токенов персонала для пользователей с ролью администратора/владельца, имели бы доступ к этим конечным точкам.
Эта проблема исправлена в версиях 5.130.6 и 6.11.0.
Показать оригинальное описание (EN)
Ghost is a Node.js content management system. In versions 5.121.0 through 5.130.5 and 6.0.0 through 6.10.3, a vulnerability in Ghost's handling of Staff Token authentication allowed certain endpoints to be accessed that were only intended to be accessible via Staff Session authentication. External systems that have been authenticated via Staff Tokens for Admin/Owner-role users would have had access to these endpoints. This issue has been patched in versions 5.130.6 and 6.11.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ghost Ghost
cpe:2.3:a:ghost:ghost:*:*:*:*:*:node.js:*:*
|
5.121.0
|
5.130.6
|
|
Ghost Ghost
cpe:2.3:a:ghost:ghost:*:*:*:*:*:node.js:*:*
|
6.0.0
|
6.11.0
|