Уязвимость системы управления контентом Ghost связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку межсайтового скриптинга (XSS) путем отправки специально созданного вредоносного SVG-файла, содержащего код JavaScript, на 3001 TCP-порт
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности подключения по 3001 TCP-порту;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий.
Использование рекомендаций:
https://github.com/TryGhost/Ghost/pull/19646
| Балл | 4 — средняя опасность |