CVE-2026-53944
ŚrednieCVSS 5.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1 istnieje możliwość ominięcia filtra IP podczas wykonywania zewnętrznego żądania, co pozwala na skierowanie go do wewnętrznej usługi przy użyciu literału IPv6 odpowiadającego prywatnemu adresowi IPv4.
Ocena ryzyka
Ominięcie filtra IP może prowadzić do nieautoryzowanego dostępu do wewnętrznych usług, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację systemu Ghost do wersji 6.21.1 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Ghost is a Node.js content management system. From 6.0.9 until 6.21.1, when making an external request, it is possible to bypass the IP filter that ensures the request isn't going to an internal service using an IPv6 literal which maps to a private IPv4 address. This vulnerability is fixed in 6.21.1.

