CVE-2022-41697
CVE-2022-41697
Em resumo
O Ghost 5.9.4 permite que atacantes descubram contas de usuários válidas através de requisições de login especialmente crafted, observando respostas diferentes. Isso facilita a construção de listas de usuários reais antes de ataques de força bruta.
Detalhe técnico
Vulnerabilidade de enumeração de usuários no endpoint de login do Ghost 5.9.4 (CWE-204) que permite a distinção entre usuários válidos e inválidos através da análise diferencial de respostas HTTP. Requer apenas capacidade de enviar requisições HTTP sem autenticação prévia; impacto é a divulgação de identidades de usuários registrados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A user enumeration vulnerability exists in the login functionality of Ghost Foundation Ghost 5.9.4. A specially-crafted HTTP request can lead to a disclosure of sensitive information. An attacker can send a series of HTTP requests to trigger this vulnerability.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Produtos afetados
Ghost Foundation · GhostQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →