Ghost CMS 뉴스레터 구독 시스템에서 인증 우회 취약점이 발견됨.
- Ghost는 웹 사이트 구축, 콘텐츠 게시 및 뉴스레터 전송을 위한 무료 오픈소스 CMS
- 워드프레스보다 빠르고 간편함
- 약 126,000개의 웹사이트에서 사용
[취약점]
- CVE-2022-41654, CVSS 점수는 9.6
- 외부 사용자가 뉴스레터를 만들거나, 기존 뉴스레터를 수정하여 악성 javascript 파일 주입 가능
→ 정상적인 사이트에서 대규모 피싱 공격 수행 가능
→ 공격자가 XSS 공격을 통해 사이트의 전체 액세스 권한을 얻었기에 javascript를 주입이 가능한 것.
해당 취약점은 최신 버전을 통해 패치되었으므로, 빠르게 보안 패치를 적용할 것을 권고함.
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] GuLoader 멀웨어 다운로더의 새로운 탐지 회피 기술 발견 (0) | 2022.12.27 |
|---|---|
| [보안이슈] 컨테이너 환경에서 악성 이미지 우회 가능한 취약점 발견 (0) | 2022.12.26 |
| [보안이슈] 멀웨어가 보안 검사를 우회하도록 하는 macOS 버그 발견. (0) | 2022.12.21 |
| [보안이슈] 사설 마인크래프트 서버를 타겟으로 DDoS 공격 수행하는 맥크래시(MCCrash) (0) | 2022.12.20 |
| [보안이슈] 인터넷에 노출된 대학교 CCTV, 아직도 방치 中 (0) | 2022.12.19 |