Ghost 在 2022 年 11 月 28 日发布的一份咨询报告中指出:“这使非特权用户能够查看和更改他们不打算访问的设置。” “他们无法永久提升他们的特权或获得更多信息”
CMS 平台将此错误归咎于其 API 验证中的“漏洞”,并补充说没有发现该问题已被广泛利用的证据。
Ghost 还修补了登录功能中的枚举漏洞(CVE-2022-41697,CVSS 评分:5.3),该漏洞可能导致敏感信息泄露。
根据 Talos 的说法,攻击者可以利用此漏洞通过提供电子邮件地址来枚举 Ghost 的所有有效用户,然后可以使用该地址来缩小下一阶段网络钓鱼攻击的潜在目标。
这些缺陷已在 Ghost (Pro) 托管服务中得到解决,但自托管该服务并运行 4.46.0 和 4.48.7 之间的版本或 5.22.6 之前的任何 v5 版本的用户都需要更新到版本 4.48.8 和 5.22.7。
