Plataforma de blog tem graves falhas de segurança

Vulnerabilidades permitiam membros não autorizados a fazer modificações no site
Por Fernanda Lopes Soldateli, editado por Adriano Camargo 22/12/2022 19h30
mãos e computador para ilustrar um hacker iraniano
Hackers no computador (Pexels/CC)
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

A plataforma de blogging baseada em Java conhecida como Ghost teve duas falhas graves de segurança identificadas por pesquisadores de cibersegurança. Um dos erros pode ser abusado para elevar privilégio por meio de solicitações HTTP. 

Esta falha permite que membros da plataforma façam modificações não autorizadas nas configurações de boletins informativos. O Cisco Talos, que descobriu a falha, disse que poderia permitir que um membro alterasse o boletim informativo padrão de todo o sistema no qual todos os usuários se inscrevem, segundo o The Hackers New

Leia mais:

Isso dá aos usuários sem privilégios a capacidade de visualizar e alterar as configurações às quais não deveriam ter acesso”, observou a plataforma Ghost em um comunicado publicado em 28 de novembro de 2022. “Eles não poderiam aumentar seus privilégios permanentemente ou obter acesso a mais informações”.

Signal alerta usuários de mensagens sobre uma ameaça de segurança de hackers do Twilio
Imagem: adike/Shutterstock

A plataforma do CMS disse que o bug é culpa de uma lacuna de validação, além de acrescentar que não foram achadas evidências de que alguém tenha se aproveitado do problema. Após ser corrigida pela plataforma, foi documentado que a falha também apresentava problemas de enumeração na funcionalidade do login, o que pode levar a divulgar dados confidenciais. 

De acordo com Talos, essa falha pode ser aproveitada por um invasor para enumerar todos os usuários válidos do Ghost, fornecendo um endereço de e-mail, que pode ser usado para restringir alvos em potencial para um ataque de phishing no próximo estágio.

As falhas foram corrigidas, mas usuários das versões entre 4.46.0 e 4.48.7 ou qualquer versão da v5 até 5.22.6, serão obrigados a atualizar para as versões 4.48.8 e 5.22.7.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!

Fernanda Lopes Soldateli é redator(a) no Olhar Digital

Jornalista 100% geek há quase 20 anos, pai do Alê, fanático por tecnologia, games, Star Wars, esportes e chocolate. Narrador/comentarista esportivo e Atleta Master. Não necessariamente nessa ordem.