Katalog CVE

CVE-2026-53945

ŚrednieCVSS 4.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1, sprawdzenie prywatnego adresu IP dla wychodzących żądań HTTP mogło być obejście za pomocą DNS rebinding, co pozwalało atakującemu na zmuszenie serwera Ghost do łączenia się z hostami w sieciach wewnętrznych.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych organizacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację systemu Ghost do wersji 6.21.1 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Ghost is a Node.js content management system. From 6.0.9 until 6.21.1, Ghost’s private-IP check for outbound HTTP requests could be bypassed via DNS rebinding, allowing an attacker to coerce the Ghost server into reaching hosts on internal networks through features that issue external fetches. This vulnerability is fixed in 6.21.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS