Ghost 的不当身份验证允许访问成员信息和操作(CVE-2024-43409)
CVE编号
CVE-2024-43409利用情况
暂无补丁情况
N/A披露时间
2024-08-20漏洞描述
Ghost 是一个 Node.js 内容管理系统。在某些用于成员操作的端点上存在身份验证不当的问题,攻击者可利用此漏洞执行仅限成员的操作,并读取成员信息。此安全漏洞存在于 Ghost v4.46.0 至 v5.89.4 版本中。v5.89.5 版本已修复此问题。解决建议
"将组件 ghost 升级至 5.89.5 及以上版本""将组件 @tryghost/portal 升级至 2.39.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/TryGhost/Ghost/commit/dac25612520b571f58679764ecc27109e641d1db | |
| https://github.com/TryGhost/Ghost/security/advisories/GHSA-78x2-cwp9-5j42 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
![[20240801] - 核心 - 内部 URL 验证不足 (CVE-2024-27184)](/images/random/zoneci_titilepic/4.jpg)
![[20240802] - 核心 - 分页缓存中毒 (CVE-2024-27185)](/images/random/zoneci_titilepic/7.jpg)
![[20240804] - 核心 - 后端配置文件视图的 ACL 不当 (CVE-2024-27187)](/images/random/zoneci_titilepic/2.jpg)
评论