CVE-2026-53945
ŚrednieCVSS 4.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1, sprawdzenie prywatnego adresu IP dla wychodzących żądań HTTP mogło być obejście za pomocą DNS rebinding, co pozwalało atakującemu na zmuszenie serwera Ghost do łączenia się z hostami w sieciach wewnętrznych.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych organizacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację systemu Ghost do wersji 6.21.1 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Ghost is a Node.js content management system. From 6.0.9 until 6.21.1, Ghost’s private-IP check for outbound HTTP requests could be bypassed via DNS rebinding, allowing an attacker to coerce the Ghost server into reaching hosts on internal networks through features that issue external fetches. This vulnerability is fixed in 6.21.1.

