本投稿は以下で発表された内容の日本語翻訳です。正確性については保証しかねるので、必ず下記のURLも参照するようにしてください。 Build software better, together 影響を受けるバージョン:>=4.0.0 <4.3.3
パッチが適用されたバージョン:4.3.3
CVE ID
CVE-2021-29484
CVSSスコア
6.8 Moderate
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N
説明
4.0.0の開発中に追加された未使用のエンドポイントにより、ウェブサイトのGhostAdminに信頼できないユーザがアクセスする可能性があります。攻撃者は、ログインしたユーザに悪意のあるコードを含むリンクをクリックさせることでアクセスを取得できます。ユーザは資格情報を入力する必要がなく、悪意のあるウェブサイトにアクセスしたことを把握できない可能性があります。
Ghost(Pro)にはすでにパッチが適用されています。パッチが追加される前に、Ghost(Pro)で悪用されたという証拠は見つかりません。
Ghostを4.0.0から4.3.2の間のバージョンで実行すると、セルフホスティング機能が影響を受けます。ウェブサイトを保護するためには、直ちに対策を講じる必要があります。以下のパッチと回避策を参照してください。
パッチ
4.3.3で修正されているため、全ての4.xサイトはできるだけ早くアップグレードする必要があります。
エンドポイントは使用されていないため、パッチはエンドポイントを削除するだけです。
回避策
- Ghost Adminからログアウトします。
- ログアウトできないユーザを一時停止します
/ghost/previewへのアクセスをブロックします。
nginxでアクセスをブロックする方法の例:
location ~ /ghost/preview {
rewrite ^(\/(.*\/)?ghost\/)(.*)$ $1 redirect;
}
これによりエンドポイントが /ghost/ にリダイレクトされ、パッチが適用された後の動作が模倣されます。
参考
Critical security update available for Ghost 4.x
詳細について
この問題についての質問やコメントが有る場合:
[email protected]までメールでお問い合わせください。
クレジット:Paul Gerste、SonarSource(https://www.sonarsource.com/)