ΑρχικήSecurityΕντοπίστηκε σοβαρή ευπάθεια στην πλατφόρμα Ghost CMS

Εντοπίστηκε σοβαρή ευπάθεια στην πλατφόρμα Ghost CMS

Μια ανησυχητική ευπάθεια στο σύστημα εγγραφής στα newsletter του Ghost CMS θα μπορούσε να επιτρέψει σε εξωτερικούς παράγοντες να κατασκευάσουν ενημερωτικά δελτία ή να τροποποιήσουν τα υπάρχοντα, εισάγοντας κακόβουλη JavaScript σε αυτά.

Μια τέτοια ενέργεια θα μπορούσε να επιτρέψει στους απειλητικούς παράγοντες να εκτελούν επιθέσεις phishing μεγάλης κλίμακας από συνήθως αβλαβή site. Επιπλέον, το JavaScript injection έχει αποδειχθεί ότι επιτρέπει ευπάθειες XSS που θα μπορούσαν να επιτρέψουν στους απειλητικούς παράγοντες να αποκτήσουν πλήρη πρόσβαση σε έναν ιστότοπο.

Δείτε επίσης: Vice Society ransomware: Υιοθέτησε έναν νέο custom encryptor

Το Ghost είναι ένα δωρεάν και ανοιχτού κώδικα CMS για τη δημιουργία ιστοσελίδων, τη δημοσίευση περιεχομένου και την αποστολή ενημερωτικών δελτίων, που χρησιμοποιείται ως ταχύτερη και απλούστερη εναλλακτική λύση στο WordPress.

#secnews #mars #perseverance 

Πράσινες κηλίδες στον Άρη ανακαλύφθηκαν από τη NASA. Πράσινες κηλίδες εντοπίστηκαν στον Άρη από το Perseverance ρόβερ της NASA. Το Perseverance ρόβερ πλησιάζει τα τέσσερα χρόνια δραστηριότητας στην επιφάνεια του Άρη — και όλο αυτό το διάστημα, το ρόβερ εξερευνά αρχαία περιβάλλοντα, συλλέγει δείγματα και ερευνά εάν ο κοκκινωπός γείτονάς μας μπορεί κάποτε να υποστήριζε μικροβιακή ζωή. Στα πιο πρόσφατα ευρήματά του, το Perseverance τράβηξε μια νυχτερινή εικόνα του Malgosa Crest, σε μια τοποθεσία που ονομάζεται "Serpentine Rapids", χρησιμοποιώντας την κάμερα SHERLOC WATSON.

00:00 Εισαγωγή
00:32 Πρόσφατα ευρήματα
01:10 Πράσινες κηλίδες
01:49 Παραμείνει ένα μυστήριο 

Μάθετε περισσότερα: https://www.secnews.gr/627918/paraksena-prasina-simadia-ari-anakalifthikan-nasa/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #mars #perseverance

Πράσινες κηλίδες στον Άρη ανακαλύφθηκαν από τη NASA. Πράσινες κηλίδες εντοπίστηκαν στον Άρη από το Perseverance ρόβερ της NASA. Το Perseverance ρόβερ πλησιάζει τα τέσσερα χρόνια δραστηριότητας στην επιφάνεια του Άρη — και όλο αυτό το διάστημα, το ρόβερ εξερευνά αρχαία περιβάλλοντα, συλλέγει δείγματα και ερευνά εάν ο κοκκινωπός γείτονάς μας μπορεί κάποτε να υποστήριζε μικροβιακή ζωή. Στα πιο πρόσφατα ευρήματά του, το Perseverance τράβηξε μια νυχτερινή εικόνα του Malgosa Crest, σε μια τοποθεσία που ονομάζεται "Serpentine Rapids", χρησιμοποιώντας την κάμερα SHERLOC WATSON.

00:00 Εισαγωγή
00:32 Πρόσφατα ευρήματα
01:10 Πράσινες κηλίδες
01:49 Παραμείνει ένα μυστήριο

Μάθετε περισσότερα: https://www.secnews.gr/627918/paraksena-prasina-simadia-ari-anakalifthikan-nasa/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LkU2d2RuUTRDRko0

Πράσινες κηλίδες στον Άρη ανακαλύφθηκαν από τη NASA

SecNewsTV 17 hours ago

Τα δεδομένα από το BuiltWith δείχνουν ότι το Ghost χρησιμοποιείται από περίπου 126 χιλιάδες ιστότοπους, κυρίως στις ΗΠΑ, το Ηνωμένο Βασίλειο και τη Γερμανία.

Η ομάδα της Cisco Talos ανακάλυψε το ελάττωμα παράκαμψης ελέγχου ταυτότητας τον Οκτώβριο του 2022, το οποίο δοκίμασαν και επιβεβαίωσαν ότι επηρέασε την έκδοση Ghost 5.9.4. Ωστόσο, πιθανότατα επηρεάζει περισσότερες εκδόσεις πριν και μετά από αυτό.

Το CVE-2022-41654, με επικίνδυνη βαθμολογία 9,6 στην κλίμακα σοβαρότητας CVSS v3, έχει αναγνωριστεί ως εξαιρετικά κρίσιμη ευπάθεια.

Δείτε επίσης: TikTok: Απέλυσε υπαλλήλους που είχαν πρόσβαση σε δεδομένα δημοσιογράφων

Το να γίνετε συνδρομητής του ενημερωτικού δελτίου είναι πανεύκολο: τα μέλη δεν χρειάζονται τίποτε άλλο από το να δώσουν μια διεύθυνση ηλεκτρονικού ταχυδρομείου και τους παρέχεται αμέσως πρόσβαση στον ιστότοπο. Δεν απαιτούνται επιπλέον προνόμια ή έγκριση διαχειριστή.

Παρ’ όλα αυτά, η Cisco Talos εντόπισε ένα εκτεθειμένο API με λανθασμένη σύνδεση “newsletter” που έδινε στα μέλη πρόσβαση στο υποσύστημα και τους επέτρεπε να τροποποιούν ή να δημιουργούν newsletter.

Αυτό περιλαμβάνει το προεπιλεγμένο ενημερωτικό δελτίο σε όλο το σύστημα στο οποίο όλα τα μέλη είναι εγγεγραμμένα από προεπιλογή, δίνοντας ουσιαστικά στους εισβολείς την εξουσία να στέλνουν οποιοδήποτε περιεχόμενο επιθυμούν σε όλους τους συνδρομητές.

Ghost CMS

Ένα δεύτερο πρόβλημα που προκύπτει από το ίδιο ελάττωμα είναι η δυνατότητα εισαγωγής JavaScript στο ενημερωτικό δελτίο, το οποίο το Ghost επιτρέπει από προεπιλογή, με την προϋπόθεση ότι μόνο οι διαχειριστές μπορούν να έχουν πρόσβαση σε αυτήν την ισχυρή λειτουργία.

Δείτε επίσης: Η κορυφαία εταιρεία αθλητικών στοιχημάτων BetMGM παραβιάστηκε

Εκτός από την προηγούμενη ανεπάρκεια, οι ερευνητές της Talos ανακάλυψαν το CVE-2022-41697: μια ευπάθεια user enumeration μέτριας σοβαρότητας στη λειτουργία σύνδεσης του Ghost. Αυτή η παραβίαση ασφαλείας επιτρέπει στους επιτιθέμενους να ελέγχουν αν μια διεύθυνση ηλεκτρονικού ταχυδρομείου συνδέεται με έναν χρήστη στον εν λόγω ιστότοπο.

Το Ghost έχει επιδιορθώσει τα δύο ελαττώματα ασφαλείας στην πιο πρόσφατη έκδοση του CMS, και ως εκ τούτου, όλοι οι διαχειριστές των ιστοσελίδων που έχουν κατασκευαστεί από το Ghost θα πρέπει να εγκαταστήσουν αμέσως το security update. Με αυτόν τον τρόπο θα διασφαλιστεί ότι οι ιστότοποι αυτοί θα παραμείνουν ασφαλείς και στο μέλλον.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS