Due vulnerabilità presenti nel sistema di iscrizione alla newsletter di Ghost CMS potrebbero consentire agli utenti esterni di creare/modificare newsletter per eseguire attacchi di phishing su larga scala iniettando anche codice JavaScript malevolo.
Ghost lo ricordiamo è un CMS gratuito e open source per la creazione di siti Web, la pubblicazione di contenuti e l’invio di newsletter, utilizzato come alternativa a WordPress.
Le vulnerabilità critiche
Il team di Cisco Talos avrebbe scoperto due difetti:
- uno tracciato come CVE-2022-41654 con punteggio di gravità CVSS v3 di 9,6 critico. Trattasi di una vulnerabilità di bypass dell’autenticazione nella funzionalità di iscrizione alla newsletter di Ghost Foundation Ghost 5.9.4. Una richiesta HTTP appositamente predisposta potrebbe attivare questa vulnerabilità e portare a maggiori privilegi.
- Uno tracciato come CVE-2022-41697, con punteggio di gravità CVSS v3 di 5,3. Trattasi di una vulnerabilità di enumerazione degli utenti nella funzionalità di accesso di Ghost Foundation Ghost 5.9.4. Una richiesta HTTP appositamente predisposta potrebbe portare alla divulgazione di informazioni riservate (come un indirizzo e-mail associato ad un utente sul sito). Un utente malintenzionato potrebbe inviare una serie di richieste HTTP per attivare questa vulnerabilità.
Test criticità XSS
Poiché il difetto critico CVE-2022-41697 consentirebbe anche l’iniezione di Javascript nel contenuto del sito vulnerabile, il team di Cisco Talos per testarne la criticità lo avrebbe sfruttato per iniettare un codice JavaScript XSS (cross-site scripting) all’interno dell’oggetto newsletter e creare un account amministrativo in modo arbitrario.
Consigli e valutazioni
Poiché le due vulnerabilità sono state risolte in automatico da Ghost solo sulla versione PRO del CMS, si consiglia a tutti gli utenti che ospitano autonomamente il servizio web con una versione compresa tra 4.46.0 e 4.48.7 o qualsiasi versione 5.0 fino alla 5.22.6 inclusa, di applicare quanto prima l’aggiornamento di sicurezza disponibile (versioni 4.48.8 e 5.22.7).
“É possibile per i membri (utenti non privilegiati) apportare modifiche alle impostazioni della newsletter. Ciò offre agli utenti senza privilegi la possibilità di visualizzare e modificare le impostazioni a cui non avrebbero dovuto accedere. Non sono in grado di intensificare i propri privilegi in modo permanente o ottenere l’accesso a ulteriori informazioni. Questo problema è stato causato da una lacuna nella nostra convalida API per gli oggetti nidificati. Ghost(Pro) è già stato patchato. Non possiamo trovare alcuna prova che il problema sia stato sfruttato su Ghost(Pro) prima dell’aggiunta della patch“, è il commento del gestore del servizio di hosting CMS Ghost.
