ГлавнаяБаза уязвимостей БДУ → BDU:2024-04273
4средняя

BDU:2024-04273 (CVE-2024-23724)

Уязвимость системы управления контентом Ghost, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)
Опубликовано: 2024-05-31
Описание

Уязвимость системы управления контентом Ghost связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку межсайтового скриптинга (XSS) путем отправки специально созданного вредоносного SVG-файла, содержащего код JavaScript, на 3001 TCP-порт

Затрагиваемое ПО и версии
Ghost (до 5.76.0)
Способ устранения

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности подключения по 3001 TCP-порту;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий.

Использование рекомендаций:
https://github.com/TryGhost/Ghost/pull/19646

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://github.com/RhinoSecurityLabs/CVEs/tree/master/CVE-2024-23724https://github.com/TryGhost/Ghost/pull/19646https://rhinosecuritylabs.com/research/cve-2024-23724-ghost-cms-stored-xss/https://vuldb.com/?id.253402
Проверьте безопасность своего сайта и почты → Полная проверка домена