Ghost — это система управления контентом Node.js. Версии с 3.24.0 по 6.19.0 позволяют неаутентифицированным злоумышленникам выполнять произвольное чтение из базы данных. Эта проблема исправлена в версии 6.19.1.
Показать оригинальное описание (EN)
Ghost is a Node.js content management system. Versions 3.24.0 through 6.19.0 allow unauthenticated attackers to perform arbitrary reads from the database. This issue has been fixed in version 6.19.1.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ghost Ghost
cpe:2.3:a:ghost:ghost:*:*:*:*:*:node.js:*:*
|
3.24.0
|
6.19.1
|
Ссылки 3
https://github.com/TryGhost/Ghost/commit/30868d632b2252b638bc8a4c8ebf73964592ed…
security-advisories@github.com
https://github.com/TryGhost/Ghost/releases/tag/v6.19.1
security-advisories@github.com
https://github.com/TryGhost/Ghost/security/advisories/GHSA-w52v-v783-gw97
security-advisories@github.com