Katalog CVE

CVE-2026-53944

ŚrednieCVSS 5.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1 istnieje możliwość ominięcia filtra IP podczas wykonywania zewnętrznego żądania, co pozwala na skierowanie go do wewnętrznej usługi przy użyciu literału IPv6 odpowiadającego prywatnemu adresowi IPv4.

Ocena ryzyka

Ominięcie filtra IP może prowadzić do nieautoryzowanego dostępu do wewnętrznych usług, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację systemu Ghost do wersji 6.21.1 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Ghost is a Node.js content management system. From 6.0.9 until 6.21.1, when making an external request, it is possible to bypass the IP filter that ensures the request isn't going to an internal service using an IPv6 literal which maps to a private IPv4 address. This vulnerability is fixed in 6.21.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS