CVE-2026-53947
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Podatność w systemie zarządzania treścią Ghost (wersje od 5.18.0 do 6.21.1) umożliwia nieuwierzytelnionemu atakującemu sprawdzenie, czy dany adres e-mail należy do zarejestrowanego użytkownika. Problem wynika z różnic w odpowiedziach zwracanych przez endpointy logowania członków.
Ocena ryzyka
Atakujący może przeprowadzić atak enumeracji kont, co ułatwia ukierunkowane ataki socjotechniczne lub brute-force na znane adresy e-mail.
Rekomendacja
Należy niezwłocznie zaktualizować Ghost do wersji 6.21.1 lub nowszej, która zawiera poprawkę eliminującą tę lukę.
Oryginalny opis (angielski, źródło NVD)
Ghost is a Node.js content management system. From 5.18.0 until 6.21.1, a discrepancy in responses from the members signin endpoints made it possible for an unauthenticated attacker to determine whether a given email address belongs to a registered member of a Ghost site. This vulnerability is fixed in 6.21.1.

